På gatan utanför huset i Sundbyberg står en säck med renoveringsskrot. Ett nybyggt hus tornar upp sig. Fasaden har inga skyltar eller logotyper, ingenting som visar att det här är adressen för ett mindre, svenskt it-företag.
Men bolaget här har spelat en särskild roll i Irans digitala spionoperationer. Landets statsstödda hackare pekas ut för att i hemlighet ha förklätt sig till bolaget för att undgå upptäckt, en taktik som fungerade – den iranska spionmjukvaran såg ju legitim ut, med detta företag från trygga Sverige som avsändare.
It-företaget i Sundbyberg, och ytterligare ett, har av allt att döma utnyttjats utan sin vetskap.
– Jag förstår ingenting, känner inte till något om detta, säger företagaren när DN ringer upp.
Iran driver i dag ett av världens mest aggressiva cyberkommandon, vars operationer riktas mot mål som bedöms ha hög strategisk betydelse. Deras angrepp är ofta diskreta, långsiktiga och designade för att förbli oupptäckta.
DN kan i dag avslöja att två svenska mjukvaruföretag har använts som verktyg i cyberangrepp utförda av hackare kopplade till den iranska underrättelsetjänsten. Det ena i Skanstull, det andra i Sundbyberg utanför Stockholm.
De svenska bolagen har inte varit mål för attackerna – deras identiteter har i stället kapats för att kunna ta sig förbi säkerhetssystem.
Operationen inleddes i våras. En gruppering som bland andra Google, Microsoft och en rad it-säkerhetsföretag pekar ut som en statlig, iransk hackargrupp började då angripa nya mål. Gruppen, som ibland kallas Nimbus Manticore, hade tidigare varit fokuserad på Mellanöstern, men riktade nu in sig på länder i Västeuropa, bland annat Sverige. En av hackarnas måltavlor uppges ha varit ett bolag inom försvarsindustrin i Skandinavien.
Hackarna hade då tagit till en ny taktik, som gick ut på att använda de två svenska mjukvaruföretagens namn för att signera sina spionprogram med till synes legitima certifikat, en slags digital kvalitetsstämpel.
När filerna bär en signatur från ett svenskt mjukvaruföretag ser det ut som vanlig programvara, vilket gjorde att antivirusprogram och andra säkerhetssystem i många fall inte reagerat. Spionprogrammet passerade den första tiden oupptäckt eftersom säkerhetssystemen uppfattade dem som mjukvara från ett trovärdigt svenskt företag. Experter från flera länder som har utrett intrången vittnar om att signeringen bidrog till att attackerna kunde gå under radarn.
– En virusscanner räknar en signatur som en plusfaktor. Den gör att man kan installera program utan att få en massa läskiga varningar om att programmet inte är signerat, säger it-säkerhetsexperten Leif Nixon.
Varför just dessa två bolag valdes ut är okänt, men de har vissa saker gemensamt: Båda är små aktiebolag med en ensam ägare.
Med hjälp av källor i it-säkerhetsindustrin, registerutdrag och tillgång till de iranska hackarnas filer har DN kunnat lägga pusslet som visar hur de svenska bolagen har utnyttjats:
Den samstämmiga bilden av flera tekniska kartläggningar som gjorts av it-säkerhetsföretag är att attackerna var framgångsrika: angriparna lyckades ta sig in i minst elva företag och organisationer. En utredare på it-säkerhetsföretaget Check point research bekräftar för DN att ett skandinaviskt försvarsföretag är en av de drabbade. Check point är ett av flera företag som har utfört it-forensiska analyser av dessa angrepp.
Irans digitala angrepp har blivit allt mer offensiva under senare år.
Sverige har redan drabbats. Förra året rapporterade DN hur iranska aktörer låg bakom ett riktat angrepp mot svenska mål under de intensifierade koranbränningarna – en operation där en hackad sms-tjänst användes för att sprida hotfulla meddelanden.
Flera uppmärksammade fall har kopplats till landets underrättelsetjänst, där cyberoperationer används som ett verktyg för att kringgå internationella sanktioner, samla in industrihemligheter och kartlägga kritiska samhällsfunktioner.
När intrånget väl är etablerat kan angriparna dessutom använda offrens nätverk för vidare attacker, vilket gör spåren svårare att följa. Att maskera spionprogram bakom ett svenskt företag passar väl in i denna taktik, enligt it-säkerhetsexperten Leif Nixon.
– Iran har byggt upp sina cyberförmågor under lång tid, och även om de kanske inte alltid ligger vid den absoluta tekniska frontlinjen, kompenserar de för det genom att lägga ner väldigt mycket tid och arbete på sina attacker, säger Leif Nixon.
De iranska hackarna är kända för att bygga upp påhittade personer med sin egen bakgrundshistoria. Allt för att de ska framstå som äkta när de börjar lura sina offer.
Företaget vid Skanstull arbetar med marknadsförings- och kommunikationstjänster på nätet och saknar all koppling till den typ av mjukvara som hackarna använde. Ägaren uppger sig vara helt ovetande om att företagets namn förekommer i de iranska spionprogrammen.
DN har varit i kontakt med ägarna till de två svenska bolag vars namn utnyttjats i attackerna.
Ingen av dem kände till att deras identiteter har använts för att signera spionprogram.
– Jag vet inte vad jag ska säga, jag har ingen aning om vad som har hänt, säger mannen bakom företaget.
Bolaget i Sundbyberg drivs av en ensam mjukvarukonsult som hoppar in i olika utvecklingsprojekt hos svenska företag. När DN når honom blir han förbryllad. Han har aldrig hört talas om de filer som signerats med hans bolag som avsändare. Först efter att vi har berättat om upptäckten hittar han den falska webbplatsen som har skapats i hans namn.
– Jag blev såklart förvånad. Jag undrar varför hackarna landade på just mitt bolag, säger han.
Efter det lyckas han få sajten nedstängd. Men skadan är redan skedd: under månader har hans företagsnamn fungerat som en digital täckmantel åt iranskkopplade underrättelsehackare.
DN har sökt SSL.com, som utfärdade de falska certifikaten, men de har inte återkommit.
Irans ambassad i Stockholm skriver i ett mejl till DN att landet ”kraftfullt tillbakavisar att Iran är kopplat till incidenterna med skadlig kod”. De skriver att påståendena är ogrundade, att landet är utsatt för en desinformationskampanj. ”Att rikta ogrundade anklagelser mot Iran har tyvärr blivit ett återkommande mönster i vissa Europeiska länder”, skriver de vidare.
