Gottfrid Svartholm Warg brukte stormaskinemulatoren Hercules og kapret systemkildekode fra IBM til å øve seg på datainnbrudd mot IBM stormaskiner. (Bilde: bittorrentvideo/Youtube)

Fjernstyrte Sveriges folkeregister

Pirate Bay-gründer Gottfrid Svartholm Warg kan kunsten å knekke stormaskiner.

Pirate Bay-gründer Gottfrid Svartholm Warg fikk i dag en dom på to års fengsel for datainnbrudd, grovt bedrageri og forsøk på bedrageri. Tiltalen omfattet ytterligere to tilfeller av forsøk på grovt bedrageri, som Warg ble frikjent for.

    Les også:

Dommen mot Warg kan rekvireres fra Nacka tingsrätt.

Dommen inneholder detaljer om oppsiktsvekkende innbrudd i IBM stormaskiner, der den skyldige i tillegg til vanlige hackerverktøy utnyttet sårbarheter i stormaskinoperativsystemet zOS. Det går fram av dommen at Warg på et tidspunkt kunne fjernstyre stormaskinen med det svenske folkeregisteret SPAR, og kunne lammet offentlig virksomhet ved å slå den av.

Bevismaterialet som det vises til i dommen, omfatter spor i stormaskinloggene tilbake til 2010. Snokingen pågikk antakelig i to år fram til den ble oppdaget 7. mars i fjor. Det var ikke driftsselskapet for stormaskinene, Logica (i dag CGI) som slo alarm, men en av kundene, Applicate (i dag Bisnode Information).

En intern granskning slo fast at Applicate-tjenesten Infotorg, som tilbyr oppslag i offentlige registre, var kompromittert, og at registre tilhørende politiet, Skatteverket og Kronofogdemyndigheten (offentlig innkrevingssentral) var berørt.

Anmeldelse ble levert 23. mars. Fem dager seinere ble tilfellet klassifisert som «nationell särskild händelse enligt förordningen

(1989:773) med instruktion för Rikspolisstyrelsen». Det utløste en intens etterforskning som varte til 15. november. Denne etterforskningen avdekket ytterligere lovbrudd, det vil si datainnbrudd, svindel og svindelforsøk mot Nordea.

– Dataintrången har varit mycket omfattande och tekniskt avancerade. Angriparen har påverkat mycket känsliga system, t.ex. stordatorer hos Logica och Nordea. Denne har därigenom kommit åt system som innehåller mycket känslig information. Vidare har det laddats ner/tankats ut stora mängder data/information. Mycket av den informationen har i sig varit av känsligt slag men det har också rört sig om information som i kombination med annan tillgänglig information kan bli än mer känslig, heter det i dommen.

Det som ble oppdaget i mars 2012 var innbrudd som rammet to logiske partisjoner i stormaskinmiljøet til Logica, benevnt henholdsvis SY3 og SY19. SY19 ble utelukkende brukt av Applicate, mens SY3 ble brukt av Applicate og «rundt 40 andre kunder». I dommen står det videre:

– Angriparen använde kapade konton vid intrånget och utnyttjade sårbarheter i det operativsystem, z/OS, som används i stordatorn. Efter det att en ingång/port till stordatorn hittats och använts skapade angriparen flera alternativa portar till stordatorn, bl.a. genom att placera ut s.k. bakdörrar.

Dommen gjør rede for hvordan innbruddene mot Applicate ga tilgang til Applicate-kunders brukernavn og passord. Blant de kaprede kontoene som ble benyttet mot SY19, partisjonen som Applicate var alene om å disponere, var det en som tilhørte Riksdagsförvaltningen. Ifølge dommen skjedde innbruddet med utgangspunkt i denne kontoen 25. februar i fjor. Dette innbruddet førte til et stort funn. Som det står i dommen:

– Angriparen fick vid det tillfället stor systemåtkomst och tillgång till administrationskonton i den databas som hanterar användarkonton och behörigheter i stordatorn, den s.k. RACF-databasen.

Med administrasjonsrettighet i kontoen som administrerte database over alle stormaskinens brukere kunne Warg trappe opp sine egne rettigheter. I dommen står det:

– Härigenom tillfördes de kapade kontona utökade behörigheter vilket ledde till att angriparen hade tillgång till användarkonton med högsta behörighet, vilket bl.a. medför behörighet att stänga av hela stordatorn. I mars 2012 gjordes intrång även i SY3 med hjälp av information åtkommen vid intrånget i SY19.

Legg merke til formuleringen: «medför behörighet att stänga av hela stordatorn.»

Nå gjorde ikke Warg det. Derimot installerte han spesielle verktøy som ga ham tilgang til stormaskinen gjennom en omvei. Samlet sett oppnådde han friere tilgang til større deler av systemet, samtidig som han reduserte risikoen for å bli oppdaget.

Beslagene gjort i pc-er og skylagring som Warg styrte, omfatter blant annet følgende, ifølge dommen:

  • Informasjon fra det svenske folkeregisteret SPAR, hvorav opplysninger om personer med «skyddade personuppgifter»
  • Databaser over kunder
  • Økonomisk informasjon
  • Kildekode, fra Logica, fra Logicas kunder, og fra Logicas kunders kunder
  • Systemkildekode fra IBM
  • Autentiseringsinformasjon fra stormaskinmiljøet

På en av Wargs pc-er fant etterforskerne stormaskinemulatoren Hercules. Det ga Warg store muligheter til å utforske sårbarheter i zOS, og bruke sin fangst av systemkode og kildekode til å øve seg i hensiktsmessige angrep.

Til sammen tegner dette et bilde av kriminell virksomhet som kunne fått langt større konsekvenser. Warg hadde administrative rettigheter på høyt nivå i systemet, blant annet til stormaskinmiljøets brukerdatabase. Dommen trekker selv fram hvordan han kunne slått av hele stormaskinen. At han i praksis begrenset seg til en mer stillferdig nedlasting, og at han ble stanset forholdsvis tidlig, kan Sverige prise seg lykkelig for.

Inntrykket som står igjen er at mannen kunne fjernstyre systemene som huser Sveriges folkeregister, Sveriges politi, Sveriges offentlige innkrevingssentral med mer.

Warg brukte ferdighetene han innøvde hos Logica til å angripe andre stormaskinmiljøer, nærmere bestemt storbanken Nordea i både Sverige og Danmark. Disse angrepene ble benyttet til tradisjonell svindel, og de fleste forsøkene på å tappe bankkontoer for penger ble avverget. Danmark har begjært Warg utlevert for å stille ham for retten for datainnbrudd, svindel og svindelforsøk.

Selskapene som har byttet navn – CGI (Logica) og Bisnode Information (Applicate) – har et åpenbart forklaringsbehov.

Det har også IBM.

Til toppen