Hemlighetsfull hackergrupp har riktat "Saurons öga" mot Sverige

De har varit verksamma i det tysta sedan åtminstone 2011 och riktar in sig på företag, organisationer och individer med vikt för nationens säkerhet.

Den hittills okända hackergruppen Strider har i tysthet infekterat sju olika organisationer med sin spiontrojan Remsec, enligt en rapport från Symantec. En av måltavlorna är en svensk organisation, men säkerhetsföretaget kan inte uppge inom vilken bransch.

– Kunden har konfigurerat sina program så att all information vi får är anonymiserad, vi vet bara att det är en av våra enterprisekunder, säger säkerhetsforskaren Dick O'Brien på Symantec som varit med och tagit fram rapporten.

Läs också: Så skyddar sig it-bovarna när de plundrar din dator

När Remsec infekterat en organisation har Strider-hackarna fått en bakdörr rakt in i systemet och bland annat kunnat logga tangenttryckningar och stjäla filer. Det ger dem också möjlighet att spridas vidare inom nätverket och infektera eller avlyssna fler enheter.

Spionprogrammet är dessutom svårt att upptäcka och utrota eftersom det lever i nätverket, snarare än på en enskild dator. Det delar upp sina komponenter på flera enheter inom det infekterade nätverket, och landar heller aldrig på hårddiskarna utan körs i arbetsminnet.

– Vi bedömer att det är mer tekniskt avancerat än de flesta hot där ute. Remsec är modulärt så angriparna kan välja komponenter och skräddarsy malwareinfektionen för det specifika offret, säger Dick O'Brien.

– De har lyckats ungå att upptäckas i fem år. Det är lång tid att flyga under radarn, och vittnar om hur skickliga de är.

Efter att Symantec hittat hänvisningar till ondskans allseende härskare Sauron i källkoden har hackergruppen kommit att förknippas med Sagan om ringen. Namnet är säkert också bekant. "Strider", eller "Vidstige" på svenska, är Aragorns alias i böckerna och filmerna.

Läs också: Gigantisk lösenordsläcka igen - 200 miljoner Yahookonton drabbade

Totalt har Symantec upptäckt 36 nätverk i fyra länder som infekterats av Remsec. De andra drabbade ska vara ett flertal personer och företag i Ryssland, ett flygbolag i Kina och en ambassad i Belgien. Symantec uppger att den gemensamma nämnaren är att det är måltavlor som "skulle vara av intresse för en statlig säkerhetstjänst".

– När det gäller den här typen av grupper ser man i regel bara ett fåtal infekterade datorer åt gången. De sprider inte sin malware med spam, de skickar det bara till utvalda individer, och när de fått vad de vill ha rensar de generellt bort infektionen, säger Dick O'Brien.

Samtidigt uppger Symantec att Remsecs källkod bär stora likheter med en annan känd spiontrojan, som kallas Flame eller Flamer och är en slags föregångare till Stuxnet. Viruset påstås vara utvecklad av amerikanska och israeliska underrättelsetjänsten och ska ha använts för att attackera Irans kärnanläggningar.