En robotröst svarar på svenska när man ringer företaget Stryker i Sverige: ”Vi fortsätter att lösa störningarna på vårt globala nätverk”, säger rösten och intygar sedan att det är tryggt att kommunicera med de anställda. Om det sker via telefon.
Stryker är ett medicintekniskt företag med huvudkontor i Michigan, USA, men med kontor i både Malmö och Lund. Här i Sverige utvecklar bolaget bland annat en maskin att sätta in vid hjärtstopp.
Den svenska verksamheten var knappast målet, men tycks ändå ha påverkats när en grupp iransk-kopplade hackare nyligen tog sig in på Strykers nätverk och utförde ett massivt sabotage. Enligt gruppen förstördes flera petabyte – miljontals gigabyte – data.
Attacken beskrivs som den största från iranskt håll i krigstid någonsin. Stryker uppmanade sina anställda att inte koppla upp sig mot företagets nätverk och vissa sjukhus i USA stängde tillfälligt Strykers plattform för kommunikation mellan personal inom akutvård. Företaget finns i många länder och har över 50 000 anställda.
Bakom intrånget mot Stryker står en grupp som framträder som politiskt motiverade aktivister, ofta med udden riktad mot Israel. Den heter Handala, ett namn taget efter en klassisk palestinsk seriefigur. Men enligt flera it-säkerhetsföretag, och enligt medieuppgifter även amerikanska statliga myndigheter, så är den egentligen en front för Irans underrättelsetjänst.
Det tydligaste utpekandet kommer från det israeliska säkerhetsföretaget Checkpoint, som beskriver Handala som en förlängning av Irans underrättelseministerium.
Enligt gruppen var angreppet på Stryker en hämnd för bombningen av en flickskola i iranska Minab, där över 150 personer varav de flesta barn, dödades. En ökande mängd bevisning pekar på att det var USA som utförde attacken.
Rena underrättelsehackare brukar föredra att agera i det fördolda, men Handala-gruppen driver en öppen blogg och har kanaler på sociala medier där de skryter om sina attacker.
I olika inlägg har gruppen hävdat att 200 000 system skulle ha förstörts och att Stryker-kontor i 79 länder påverkades. Gruppen har varit känd i ett par år, men sabotaget mot Stryker är dess största hittills.
– Iran har fortfarande av allt att döma fortfarande en stark cyberförmåga, sa Jen Easterly, tidigare chef för USA:s cybersäkerhetsmyndighet på en konferens nyligen.
Varför just Stryker angreps är oklart, men valet av offer kan ha varit opportunt – att det helt enkelt var där hackarna hittade ett sätt att ta sig in. Det kan innebära en hotbild som är mer oförutsägbar, där angripare kan slå mot vilka företag eller institutioner som helst, för att göra maximal skada.
Irans underrättelsearbete
● Säkerhetspolisen pekar ut Iran som ett av de största cyberhoten mot Sverige, tillsammans med Ryssland och Kina. Även FBI och flera europeiska säkerhetstjänster varnar för allt mer offensiva iranska cyberoperationer.
● Landet har en av världens mest aktiva cyber- och underrättelseapparater. Iran kopplas till dataintrång mot allt från europeiska myndigheter och amerikanska universitet, till försvars- och energibolag.
● Det iranska cyberprogrammet beskrivs av säkerhetstjänster som ett lapptäcke av statliga aktörer, privata it-firmor, kontrakterade hackargrupper och underrättelseofficerare. Deras operationer är ofta breda, tekniskt avancerade och riktade mot mål med strategisk betydelse: energi, försvar, telekom, utbildning och offentlig förvaltning.
Attacken skiljer sig från den typ av utpressningsattacker som har blivit vanliga på senare år, där angriparen försöker pressa offret på pengar. De utförs i regel av kriminella grupper som drivs av pengar och går ut på att angriparen behåller kontroll över offrets data så den kan ”ges tillbaka” mot betalning.
Angreppet mot Stryker var i stället ett rent sabotage, med en sorts skadligt program som brukar kallas ”wiper” eller förstörelsevirus. En liknande form av program hittades på ukrainska it-system strax före Rysslands invasion 2022.
Palo Alto Networks, ett amerikanskt cybersäkerhetsföretag, skriver till sina kunder att det finns ”en ökad risk för wiper-attacker relaterade till konflikten i Iran” och pekar ut Handala-gruppen som det främsta hotet.
År 2024 pekade Säkerhetspolisen ut Iran för en attack direkt riktad mot Sverige, sedan en SMS-tjänst hade blivit hackad och använts för massutskick av meddelanden som uppmanade till hämnd mot koranbrännare.
– Förundersökningen visar att det var den iranska staten via det iranska islamska revolutionsgardet, IRGC, som genomförde ett dataintrång hos ett svenskt företag som driver en större sms-tjänst, sa åklagare Mats Ljungqvist då.
DN har sökt Stryker via kontoret i Malmö utan framgång.
