“Inom ramen för Rysslands hybridkrigföring och aktiva åtgärder utgör Sverige ett attraktivt mål av stort intresse, inte minst i cybermiljön.”

Rysslands agerande i cybermiljön  

Sedan 1990-talet har Ryssland utfört en lång rad offensiva cyberoperationer, från spionage till sabotage. Sedan åtminstone 1996 och Moonlight Maze-attackerna har cyberoperationer kopplade till Ryssland utvecklats till ett komplext nätverk av aktörer och operationer med varierande verkan. Idag utgör ryska statligt sponsrade hotaktörer ett brett nätverk av sofistikerade grupper som bedriver fientlig verksamhet på global skala. Inom ramen för Rysslands hybridkrigföring anses offensiva cyberoperationer av den ryska regeringen vara acceptabla för att uppnå landets utrikes- och säkerhetspolitiska mål. Dessa mål uppnås ofta genom att avskräcka motståndare, påverka informationsflöden, iscensätta angrepp mot digital infrastruktur eller andra typer av aktiva åtgärder under gränsen för vad som anses utgöra en konventionell krigshandling. Därför utgör Rysslands offensiva cyberförmåga ett i många avseenden avgörande inslag i dess globala maktstrategi.

“Därför utgör Rysslands offensiva cyberförmåga ett i många avseenden avgörande inslag i dess globala maktstrategi.”

Effekterna av Rysslands invasion av Ukraina sprider sig till Ukrainas allierade som står inför flera typer av attacker riktade mot digital infrastruktur. Framväxande mönster av återkommande metoder inkluderar främst DDoS-angrepp, ”hack-and-leak”-angrepp, phishing, attacker mot kritisk infrastruktur, informationsoperationer med en cyberkomponent och en ökad oro för data wipers. Dessutom finns indikatorer på säväl mobilisering bland rysk-kopplade APT-grupper som nätverk av nya grupper.

Samarbete mellan grupper är mest uppenbart bland pro-ryska hacktivister som Killnet och NoName057(16). Därutöver visar tydliga indikationer att ryska UserSec arbetat tillsammans med MistNet och det finns tydliga kopplingar mellan båda grupperna och nya Anonymous Sudan. Grupperna ägnar sig främst åt DDoS-angrepp och nya Anonymous Sudan har i februari och mars spelat en framträdande roll i de omfattande angrepp som riktats mot Sverige. Ett vanligt fenomen bland denna typ av hacktivist-grupper är att gemensamt utföra DDoS-angrepp, ofta med begränsad verkan där dess betydelse sedan kraftigt överdrivs i diverse kommunikationskanaler och forum.

Även om själva effekten av sådana angrepp kan vara begränsad, framträder ett mönster av DDoS-attacker för att skapa förutsättningar för en bredare informationsoperation. Sådant beteende stöder teorin om att nya Anonymous Sudan är en del av en bredare desinformationskampanj riktad mot Sverige. Det återstår därför att se i vilken grad nya Anonymous Sudans operationer följer eller avviker från mönster som är uppenbara hos andra Rysslandsanslutna eller regeringskoordinerade hotaktörer.

Utöver en tydlig trend där pro-ryska hacktivist-grupper används för olika typer av sabotageverksamhet, framträder ryskstödda APT-grupper som ett mer allvarlig hot. Den ryska regeringen sponsrar och koordinerar ett antal sofistikerade grupper med hög förmåga att angripa en motståndares mest kritiska infrastruktur. Illustrerande exempel står att finna i attackerna mot Ukrainas kraftnät 2015 & 2016 samt NotPetya-attacken 2017 som anses vara en av de mest omfattande cyberoperationerna någonsin och ett led i Rysslands geopolitiska ambitioner.

Hotbilden mot Sverige ökar 

Sverige befinner sig i ett spänt säkerhetsläge som påverkas av en rad överlappande händelser med efterverkningar inom och bortom landets gränser. Paliscopes samlade bedömning är att en snabbt växande och i hög utsträckning dynamisk hotbild påverkar och påverkas av svenska intressen.

Faktorer och händelser med särskild påverkan på säkerhetsläget i Sverige bedöms vara följande:

• Kriget i Ukraina
• Sveriges NATO-ansökan
• Ökning av DDoS-angrepp mot Sverige
• Sveriges geostrategiska betydelse
• Sveriges vapenindustri
• Sveriges gruvindustri

Den negativa trenden kommer sannolikt fortsätta ta sig uttryck i cybermiljön, vilket ställer krav på att svenska organisationer och företag vidtar åtgärder för att utveckla adekvata säkerhetsförmågor. Stark motståndskraft och förmåga hos svenska organisationer i cybermiljön är en förutsättning för att hantera hotbilden mot Sverige i stort.

“Stark motståndskraft och förmåga hos svenska organisationer i cybermiljön är en förutsättning för att hantera hotbilden mot Sverige i stort.”

Kriget i Ukraina

Rysslands krig i Ukraina är ett krig med påverkan på hela den europeiska säkerhetsordningen. Rysslands aggressiva agerande i vårt närområde genom 2000-talet är inne i ett intensivt skede och landets säkerhetspolitiska ambitioner indikerar att så kommer vara fallet även under en lång tid framöver. Mot bakgrund av Rysslands hänsynslöshet gentemot suveräna staters integritet och landets stora riskbenägenhet, tvingas Sverige vidta åtgärder för ökad säkerhet och trygghet. Dessa åtgärder påverkar hotbilden mot Sverige och svenska organisationer och företag. Rysslands agerande i cybermiljön stärker vår bedömning att vi genom kriget i Ukraina befinner oss i en period där adekvat förmåga och förståelse för framväxande hotbilder är av vital betydelse för Sveriges samlade försvar.

Sveriges NATO-ansökan

Sveriges NATO-ansökan gör oss till ett särskilt önskvärt mål för framför allt rysk påverkan. Det utsatta läget problematiseras ytterligare av den danske politikern Rasmus Paludans koranbränning utanför den turkiska ambassaden i februari. Sammanfattningsvis ser vi växande hotbilder mot Sverige i cybermiljön som en direkt följd av den pågående ansökningsprocessen. Det handlar dels om ryska intressen i att Sveriges medlemskap fördröjs, och dels om hacktivist-grupper som reagerar på Sveriges överenskommelse med Turkiet. Ett exempel på det senare är medlemmar i Anonymous-kollektivet som angrep Migrationsverket i slutet av 2022 efter att turkiska medborgare utvisats från Sverige.

Ökning av DDoS-angrepp mot Sverige

Sedan Sveriges ansökan till NATO har vi sett en ökning av DDoS-angrepp mot svenska företag och myndigheter. Särskilt sedan februari 2023 och framväxten av den misstänkt rysskopplade hacktivist-gruppen nya Anonymous Sudan har antagonistisk aktivitet varit intensiv. Angreppen följer ett mönster av vanligt agerande bland hacktivist-grupper, men motivbilden är delad. Vi ser dels en hög frekvens av angrepp spårade till grupper från en rad muslimska länder, främst i Asien och dels en ökning av angrepp från nya Anonymous Sudan och andra hacktivister med kopplingar till Ryssland. Medan de förra sannolikt är en reaktion på Rasmus Paludans koranbränning, bedömer vi att aktiviteten hos de senare snarare kan vara en direkt följd av Sveriges NATO-ansökan och vårt stöd till Ukraina. Sammanfattningsvis bedömer vi en ökad och sannolikt växande sårbarhet för svenska företag och myndigheter.

Sveriges geostrategiska betydelse

Sveriges geostrategiska betydelse ökar till följd av ökade spänningar runt Östersjön samt ett ökat intresse för Arktis. Rysslands krig i Ukraina och landets direkta tillgång till Östersjöns vatten medför en naturligt höjd aktivitet i vårt direkta närområde. Därutöver växer ett globalt intresse för den Arktiska regionen i takt med isarna smälter och därmed erbjuder en ökad tillgänglighet för externa aktörer. Däribland Kina som under lång tid uttryckt ett intresse för regionen och som genom nära relationer till Ryssland har intressen i påverkan mot svenska intressen.

“Utifrån Sveriges geostrategiska betydelse i regionen påverkas därmed hotbilden mot svenska värden vilket utan adekvata säkerhetsåtgärder placerar vilken organisation eller bolag som helst i en särskilt utsatt position.”

Östersjöregionen

Sverige ligger i ett strategiskt attraktivt läge i Östersjöregionen. Framför allt ön Gotland har en central position i Östersjön och utifrån dess centrala position ges möjlighet att kontrollera kommunikationerna till sjöss och i luften. Efter att ha varit närmast demilitariserad sedan 2004 påbörjades en uppbyggnad av militär närvaro på ön efter Rysslands invasion av Georgien 2008. Utvecklingen följer ett mönster av svensk upprustning och ökad militär närvaro i Östersjön i stort. Efter Rysslands invasion av Ukraina och det misstänkta sabotaget mot Nord Stream 1 och 2 under 2022 är säkerhetsläget i regionen spänt. Utifrån Sveriges geostrategiska betydelse i regionen påverkas därmed hotbilden mot svenska värden vilket utan adekvata säkerhetsåtgärder placerar vilken organisation eller bolag som helst i en särskilt utsatt position.

Arktis

Ett svenskt NATO-medlemskap kommer i hög grad påverka organisationens defensiva förmåga i den arktiska regionen. Sveriges inträde skulle innebära att Ryssland är den enda icke-NATO-medlemmen i Arktiska rådet. För Ryssland är kontroll i Arktis, och i synnerhet av Kolahalvön av stor betydelse eftersom den är den norra flottans hemmabas. Landet har stora ekonomiska intressen i regionen varifrån det får 80 % av sina gasintäkter och 17 % av sin olja. För närvarande har NATOs engagemang för den arktiska regionen varit av begränsat intresse, men eftersom alternativa sjöfartsvägar växer fram och intresset från externa aktörer ökar kommer detta troligen snart att förändras. Sveriges geografiska position och militärt strategiska värde i Arktis medför en ökad hotbild som bedöms ta sig uttryck inom cybermiljön av aktörer kopplade till eller lojala med Ryssland.

Sveriges försvarsindustri

Sveriges inhemska vapenindustri är bland de mest utvecklade i världen. Vi utvecklar högteknologiska vapensystem av mycket hög nivå. Genom Sveriges stöd av utrustning och materiel till Ukraina ges Sverige utöver att bidra till fred och säkerhet, även möjlighet att observera dessa system i krig i vårt närområde. Utöver viktig information för svensk försvarsförmåga följer även en risk för ökat externt intresse, vilket därmed ökar incitamenten till offensiva operationer i cybermiljön mot svenska organisationer och företag inom och utanför försvarssektorn.

Sveriges gruvindustri

I början av 2023 kom rapporter om en ny mineralfyndighet, Per Geijer, i Kirunaområdet. Av störst intresse är upptäckten av betydande mängder sällsynta jordartsmetaller, nödvändiga för bland annat tillverkning av batterier till elbilar och vindkraftverk. Även om slutet av fyndet är okänt visar uppgifter metallmängder om minst 500 miljoner ton. Per Geijer har därmed potential att bli Europas viktigaste gruva för kritiska jordartsmetaller och en viktig del i grön energiproduktion.

Fyndet påverkar hotbilden mot Sverige av flera skäl. Först och främst saknar Europa idag helt brytning av sällsynta jordartsmetaller, samtidigt som efterfrågan bedöms öka kraftigt till följd av elektrifiering och en ökande brist. I en tid med ökade geopolitiska spänningar i vårt närområde är Paliscopes bedömning att denna typ av tillgång gör svenska organisationer och företag till attraktiva måltavlor i cybermiljön.

Sammanfattning

Utifrån vad som redogjorts för ovan ser vi ett växande behov av ett helhetsperspektiv kring cybersäkerhet horisontellt såväl som vertikalt inom privat och offentlig sektor. För att möta de växande utmaningar som vi identifierat utifrån rådande hotbild är adekvata och anpassningsbara säkerhetsförmågor av stor betydelse, dels för att värna verksamheters egna intressen och dels för att bygga motståndskraft i samhället i stort.

Kontakta oss för att ta del av hur vårt team av erfarna cybersäkerhetsexperter, statsvetare och analytiker genom våra tjänster kan hjälpa din organisation att försvara sig genom att bygga relevanta säkerhetsförmågor.

“Sweden constitutes a desirable target within Russia’s hybrid warfare and active measures. Not the least in the cyber environment.”

Russian Hybrid Warfare

Paliscope sees indications of Russia conducting broad psychological operations (PsyOps) targeting northern Europe. Russian hostile activity in Sweden and our neighboring area follow a long tradition of what, in Russian strategic terms, is called active measures (” aktivnye meropriyatiya”). Sweden constitutes a desirable target within Russia’s hybrid warfare and active measures. Not the least in the cyber environment.

Russia perceives offensive cyber operations as legitimate tools to fulfill its broader geopolitical aims. Therefore, the Russian government commonly conducts hostile cyber activities, including cyber espionage and information operations. Moreover, Russia is signaling an ambition to decriminalize offensive cyber operations if the motives align with national interests.

Hence, there is an increasing risk of hostile activities from any pro-Russian actor. Such actions are commonly illustrated in operations targeting organizations of Russian geopolitical value. However, the interdependent relationship between organizations in cyberspace brings a broadened surface that enables supply-chain attacks. The upgoing trend of such operations illustrates this. Hence, any organization in the private or public sector increasingly constitutes a potential target.

Apart from the broad network of Russian APT groups with links to different parts of Russian intelligence services, more common cyber criminals and hacktivists may be offered

increasing influence in Russia’s collective offensive capabilities. Such an actor is the group Killner, which, together with groups such as UserSec, MisNet, Deanon Club, and, more recently, the new Anonymous Sudan, conducts offensive operations with clear geopolitical implications. An example is the massive DDoS operations with links to pro-Russian actors that targeted Swedish government entities and other valuable targets in February.

Russia’s Behavior in Cyberspace 

Since the 1990s, Russia has conducted various cyber operations, from espionage to sabotage. Since at least 1996 and the Moonlight Maze attacks, cyber operations linked to Russia have developed into a complex network of actors and operations with various effects. Today, Russian-sponsored threat actors constitute a broad network of sophisticated groups conducting hostile operations on a global scale. Within Russia’s hybrid warfare framework, its government perceives offensive cyber operations as a legitimate tool to reach its foreign- and security policy-related ambitions. These aims are often achieved by deterrence, influencing information flows, cyber operations targeting digital infrastructure, or other types of active measures below the threshold of war. Hence, Russia’s offensive operations are decisive in its global power strategy.

“Hence, Russia’s offensive operations are decisive in its global power strategy.”

The effects of Russia’s invasion of Ukraine are spreading to allies of Ukraine, which are facing several different attack vectors targeting digital infrastructure. Emerging patterns of DDoS attacks, hack-and-leak operations, phishing, attacks targeting critical infrastructure, information operations with a cyber component, and an increasing fear of wiperware are becoming increasingly evident. Moreover, there are indications of mobilization among Russian-linked APT groups and networks of new groups.

Collaboration between groups is most evident among pro-Russian hacktivists such as Killnet with MistNet. There are clear connections between both groups and the new Anonymous Sudan. The groups are mainly conducting DDoS attacks, and the new Anonymous Sudan has since February and March played a central role in the broad attacks targeting Swedish websites. A common phenomenon among this hacktivist group is conducting joint operations, often with limited effects but where their significance is heavily exaggerated in diverse communication channels and forums.

However, even though the effects of such operations may be limited, an emerging pattern of DDoS attacks is conducted to create desirable conditions for broader information

operations. Moreover, such behavior supports the theory of the new Anonymous Sudan being a part of a more comprehensive disinformation operation targeting Sweden. Hence, it remains to be seen to what degree the new Anonymous Sudan follows or deviates from patterns evident in the behavior of other Russia-linked threat actors.

Apart from a clear trend of pro-Russian hacktivist groups being used for different sabotage activities, Russian state-sponsored APT groups are emerging as a more severe threat. The Russian government is sponsoring and coordinating several sophisticated groups with extensive capabilities to target an opponent’s most critical infrastructure. Some illustrative examples are the 2015 and 2016 attacks targeting Ukraine’s power grid and the 2017 NotPetya attack, considered one of history’s most severe cyber operations and a direct effect of Russia’s geopolitical ambitions.

The increasing threat landscape targeting Sweden 

Sweden finds itself in a tense security situation. It is affected by several overlapping events with consequences within and outside its national borders. Paliscope assesses that a rapidly increasing and dynamic threat landscape affects and is affected by Swedish interests. Some factors and events of significance are:

• The war in Ukraine
• Sweden’s NATO application
• Increasing DDoS attacks targeting Sweden
• Sweden’s geostrategic significance
• Sweden’s defense industry
• Sweden’s mine industry

The negative trend will likely continue in the digital environment, increasing the demands on Swedish organizations to develop adequate security measures and promote security. Strong resilience and capabilities among Swedish organizations in cyberspace is a condition to handle the increasing threat landscape.

“Strong resilience and capabilities among Swedish organizations in cyberspace is a condition to handle the increasing threat landscape.”

The War in Ukraine

Russia’s war in Ukraine is a war affecting the European security order. Russia’s aggressive actions in our area during the 21st century are in an intensive phase, and the country’s

ambitions indicate that so will be the case for a long time. The country’s recklessness regarding other states’ sovereignty and its risk-prone behavior forces Sweden to take measures for increased security and defense. Such actions affect the threat landscape. Russia’s operations in the digital environment support our assessment that we, from the war in Ukraine, find ourselves in a period in which adequate capabilities and understanding of the emerging threat landscape are crucial for Sweden’s defense.

Sweden’s NATO application

Sweden’s NATO application makes us an especially desirable target for Russian influence. Moreover, the vulnerable position is further problematized by the Danish politician Rasmus Paludan’s burning of the Quran outside the Turkish embassy in February. In sum, we see an increasing threat landscape in cyberspace as a direct consequence of the ongoing application process. Partly, Russia’s interest in influencing Swedish society is growing as the application process is stalling. Partly the agreements with the Turkish government spur discontent among global hacktivist groups. One such example is the Anonymous-linked attacks targeting the Swedish Migration Service in late 2022 after the extradition of Turkish citizens.

Increasing DDoS attacks targeting Sweden

Since Sweden’s application to NATO, DDoS attacks have increased, targeting Swedish corporations and authorities. Furthermore, since February 2023, there has been an increasing frequency of hostile activities partly due to the emergence of the new Anonymous Sudan. The attacks follow a typical behavior pattern among hacktivist groups, but the motives seem diverse. We see a high frequency of attacks with links to groups from Muslim countries, mainly in Asia. Partly, we see increasing attacks from pro-Russian groups. Whereas the former likely are reactions to Rasmus Paludan’s burning of the Quran, we assess that the latter’s activities may directly affect Sweden’s NATO application and our support to Ukraine. In sum, we estimate that increasing threats bring vulnerabilities to Swedish corporations and authorities.

Sweden’s geostrategic significance

Sweden’s geostrategic significance is increasing following the tense situation in the Baltic Sea region and the increasing interest in the Arctic region. Russia’s war in Ukraine and its direct access to the Baltic Sea naturally increase activity in our nearby area. Moreover, there is increasing global interest in the Arctic region in pace with the ice melting, allowing for easier access for peripheral actors. Among them is China, which has long articulated an interest in the area and, combined with its relationship with Russia, constitutes an increasing threat to Sweden.

“Hence, Sweden’s geostrategic significance in the region is affected by Swedish assets, which, without adequate security measures, will put any organization in a very vulnerable position”

The Baltic Sea region

Sweden is located in a strategically attractive position in the Baltic Sea region. The island of Gotland is centrally positioned, allowing excellent communications control in the sea and air. The island was almost completely demilitarized in 2004, but the military presence was strengthened after the Russian invasion of Georgia in 2008. The development follows a pattern of Sweden’s rearmament and increased military presence in the Baltic Sea. After Russia invaded Ukraine and the suspected sabotage of Nord Stream 1 and 2 in 2022, the security situation in the region is indeed tense. Hence, Sweden’s geostrategic significance in the region is affected by Swedish assets, which, without adequate security measures, will put any organization in a very vulnerable position.

The Arctic region

A Swedish membership in NATO will naturally affect the organization’s defensive capabilities in the Arctic region. A Swedish membership makes Russia the single non-NATO member in the Arctic Council. For Russia’s part, control of the Arctic region, especially the Kola peninsula, is crucial due to the Northern fleet’s home base. In addition, the country has significant economic interests in the area as it gets 80% of its gas income and 17% of its oil from the Arctic. Until now, NATO’s attention to the Arctic region has remained relatively limited. However, as the transport routes are growing and the interest from peripheral actors is increasing, this will likely change. Sweden’s geographical position and strategic military value in the Arctic region bring an increased threat landscape which is assessed to get implications in cyberspace.

Sweden’s defense industry

Sweden’s domestic arms industry is one of the most developed in the world. We produce highly technological weapon systems of a very high standard. Through Sweden’s support of Ukraine, we contribute to peace and security in Europe. We also get the opportunity to monitor and assess the efficiency of our weapon systems in war. However, apart from crucial information for Sweden’s defensive capabilities, there is also a risk of increased hostile interests towards Sweden which brings incentives for offensive operations targeting Swedish military and civilian organizations in cyberspace.

Sweden’s mining industry

In early 2023, reports came of a discovery of minerals, Per Geijer, in the Kiruna district. The vast amount of rare earth minerals are naturally especially interesting as these are crucial for developing green energy transition. Even though the scope of the discovery is unknown, there are reports of at least 500 million tons. Hence, Per Geijer is potentially the most important mine in Europe for extracting rare earth minerals.

The discovery influences the threat landscape for several reasons. Today, Europe needs the extraction of rare earth minerals while the demand is rapidly increasing. Moreover, with serious geopolitical tensions in our immediate nearby area, Paliscope assesses that this type of asset brings implications for Swedish organizations as it increasingly constitutes desirable targets in cyberspace.

Conclusion 

From what has been accounted for above, we see an increasing need for a holistic and broad perspective on cybersecurity horizontally and vertically among the private and public sectors. Furthermore, to handle the emerging challenges evident in the contemporary situational picture, adequate and adaptable security approaches will be of great significance in protecting an organization’s assets and building societal resiliency.

Contact us to learn how our team of experienced cyber experts, political scientists, and data scientists can help safeguard your organization from emerging threats.