Så här kan det gå till
Under våren 2017 rapporterades kring ett angrepp som i media fått namnet Cloud Hopper. Här följer en historia som baseras på samma tillvägagångssätt. Alla namn och verksamheter är påhittade.
När Jonas kom in på kontoret med en kaffe i handen hade han redan 30-talet mejl i sin inbox. Han scrollade snabbt igenom dem och skummade innehållet. De flesta kastade han direkt men det var några som han sparade – fyra från kunder som han ansvarade för att sköta IT-miljön för. Och ett som handlade om en spännande konferens i Amsterdam. Han klickade på länken och hamnade på en webbsajt med konferensinformation som han skummade igenom. Det verkade vara lovande så han laddade ned ett konferensprogram och stängde sedan ned sin webbläsare.
Vad Jonas inte visste var att när han klickade på länken så lästes hans IP-adress av. Den bedömdes intressant vilket gjorde att han skickades till en annan sajt med samma information som den med konferensinformationen. Därifrån infekterades hans dator med en skadlig kod.
Jonas hade nu druckit upp sitt kaffe och började jobba med sina kunduppdrag. Som ansvarig för nätverksunderhåll kopplade han upp sig som systemadministratör mot en svensk myndighets nätverk. Samtidigt som han installerade ny nätverksprogramvara hos kunden läste den skadliga koden av uppgifterna kring hans administratörskonto och när Jonas loggade ut fanns uppgifterna lagrade hos angriparen.
Under de följande sex månaderna använde angriparen administratörskontot för att ta sig allt djupare in i myndighetens nätverk. Angriparen sökte systematiskt efter information om ny teknologi och patent. Allt som bedömdes intressant komprimerades och skickades, försiktigt bit för bit för att inte väcka någon uppmärksamhet, tillbaka genom Jonas uppkoppling och vidare till angriparen. Där sammanställdes informationen och blev grunden till en ny högteknologisk industri som nu konkurrerar på världsmarknaden mot svenska företag med mycket lägre priser.