Pirate Bay-grundaren Gottfrid Svartholm Warg är tillsammans med ytterligare en person misstänkt för att ha brutit sig in i stordatorer hos Logica, numera CGI. Intrånget kan ha pågått så länge som mellan första januari 2010 till och den 15 april 2012. Under den tiden lyckas angriparna enligt förundersökningen successivt ta sig allt längre upp i värdekedjan och skaffa sig allt större tillgång till systemet och genom olika konton till slut få högsta behörighet.
Angreppet upptäcks den 6 mars förra året.
– Det är många tankar som går genom huvudet i en sådan situation och vi tog det här väldigt allvarligt från början, säger Anders Sandell som är säkerhetschef på CGI, tidigare Logica.
Företaget väntar dock till den 22 mars innan polisen kopplas in.
– Vid den tidpunkten hade händelsen fått en sådan omfattning att vi beslöt att göra en egen anmälan, säger han.
Ytterligare nästan en vecka senare inser de inblandade vidden av angreppet. 28 mars beslutar rikspolischefen om att lyfta upp intrånget till vad som kallas nationell särskild händelse. Det betyder att arbetet med utredningen tas över av Rikskriminalpolisen. Även Säkerhetspolisen kopplas in i utredningen. Det inrättas också en speciell stabsfunktion för att samordna arbetet. Den organisationen är verksam ända fram till den 15 november förra året, när it-miljön hos Logica bedöms som säker igen.
Att Rikspolisstyrelsen ser så allvarligt på intrånget beror bland annat på att den använder uppgifter som finns lagrade hos Logica och inte har något sätt att säkerställa om dessa uppgifter blivit ändrade eller inte.
Ett första brohuvud in Logicas stordator skapas enligt utredningen via ett ftp-konto kopplat till Riksdagen. Kontot är egentligen avsett för att hämta hem resultaten av större datakörningar i företaget Bisnodes system. Bisnode har fram till 2011 skött Statens personadressregister, Spar. Utredarna tror att förövarna har kommit över lösenordet genom att lura systemet för lösenordsåterställning.
Ftp-uppkopplingen blir sedan en viktig väg in för angriparna. Den vägen är det också möjligt att köra olika skript på den angripna datorn för att komma över mer information. Bland annat har angriparna enligt förundersökningen kommit över och knäckt krypterade listor med lösenord i systemet. Kunskaperna och informationen som de då skaffat sig misstänks sedan ha använts för att förbättra "John the ripper", ett populärt program som används för att knäcka lösenord.
Genom bland annat lösenorden ska angriparna ha skaffat sig allt större tillgång till både den dator som kör Bisnodes system och till ännu en stordator hos Logica som används av ytterligare 40 kunder.
För att ta sig in i systemet används enligt Polisens utredning både relativt enkla metoder för att gissa användarnas lösenord och mer avancerade attacker som utnyttjade svagheter i programvaran i systemet.
– Det är inte vem som helst som klarar att göra en sådan här attack. Det krävs stora kunskaper om hur sådana här system fungerar, säger Anders Sandell.
Mycket tyder på att angriparna har haft det. I undersökningen har det bland annat hittats en emulator kallad Hercules som används för att emulera den typen av stordatorer från IBM som angripits hos Logica.
– Rent allmänt, de som ligger bakom den här typen av attacker i dag gör det inte för att synas utan verkar i det fördolda och har ofta ekonomiska syften, säger Anders Sandell som inte vill kommentera eventuella motiv i det aktuella fallet.
De misstänkta lägger enligt förundersökningen också ned mycket energi på att dölja sin identitet under den tid attackerna utförts. Till exempel har uppkopplingen mot de aktuella systemen bara undantagsvis skett via egna internetuppkopplingar.
I stället har trådlösa nätverk hos grannarna till en av de misstänkta hackats för att användas för att hämta hem data. Enligt uppgift ska mellan 70 och 100 trådlösa nätverk ha forcerats, men bara en handfull av dessa finns med i själva åtalet. Trafiken har sedan även skickats mellan ett stort antal servrar runt om i världen för att undgå upptäckt, enligt Polisen.
I intrånget mot Logica ska de misstänkta enligt polisutredningen kommit åt stora mängder persondata från företaget Bisnode och i förlängningen Skatteverket. Även uppgifter om Polisens fordon och information från Kronofogdemyndigheten ska ha kopierats. Enligt förundersökningen handlar det bland annat om en databas med 16 gigabyte data som kopierats.
Just den stora mängden data som hämtats har också bidragit till att intrånget till slut upptäcktes. I början av mars förra året noterar någon hos Logica att ovanligt mycket processorkraft används. En användare i systemet har också rapporterar också om varningsmeddelanden när ett stort antal filer kopieras.
Anders Sandell tror att attacken förr eller senare hade upptäckts även om inte angriparna varit oförsiktiga, men han vill inte berätta hur. I dag har CGI dock ändrat sina säkerhetsrutiner både internt och när det gäller hur olika kunder kan komma åt systemen utifrån.
Bevisningen i målet består till stor del av loggfiler och data som hittats i Gottfrid Svarthom Wargs beslagtagna dator. Men Polisen har också lagt stor energi på att spåra verksamhet i olika chattrum mellan alias som utredningen menar knyts till de misstänkta. Där beskrivs attacken och vilken information som kommits över. Delar av de stulna materialet har också publicerats online på tjänsten Pastebin.
Rättegången mot Gottfrid Svartholm Warg och de övriga misstänkta för intrånget hos Logica inleds den 20 maj. Samtidigt står Gottfrid Svartholm Warg anklagad för bedrägeri och bedrägeriförsök mot Nordea, något som även det kommer att tas upp i rättegången. Han nekar till båda brotten och förklarar bevisen som hittats i hans dator med att den varit öppen även för andra via internet.
Vilka som haft tillgång till datorn vill han inte berätta av rädsla för repressalier.
Fyra personer står åtalade i målet i Nacka Tingsrätt. Gottfrid Svartholm Warg är misstänkt för tre fall av dataintrång, ett fall av grovt bedrägeri och ett fall av försök till grovt bedrägeri.
