Den ryska hackergrupperingen kallas inom säkerhetsbranschen för TA505 och FIN11 och beskrivs som ett av världens mest ökända nätverk.
Det var i fjol som it-experter från polisens Nationella operativa avdelningens, NOA, letade sig fram till ett industriområde i Västberga i södra Stockholm. Där driver bolaget Glesys ett av sina stora datacenter.
Polisen hade fått ett tips om att hjärnorna bakom det ökända nätverket begått systematiska hackerattacker och andra cyberbrott från datacentret.
”TA505/FIN11 är en väletablerad rysk hackergruppering som begår grova dataintrång/hackerattacker mot privatpersoner, företag och myndigheter över hela världen. De ses främst som en finansiellt motiverad hotaktör, men bedöms även genomföra statligt sponsrade uppdrag”, står det i en av de handlingar som tillhör ärendet, enligt DI.
Mer än 25 000 drabbade i över 70 länder
Under razzian lyckades polisen beslagta hackergruppens hårdvara. Efter att ha tagit sig in i denna stärktes deras hypotes.
Ett mycket stort antal målsägande ska ha fått personlig, mycket känslig data stulen, och skadlig kod ska ha använts för att installera målsägandes datorer, enligt DI. På en av servrarna ska det ha rört sig om cirka 25 000 drabbade i över 70 länder.
Ett av de företag som drabbats är en icke namngiven afrikansk bolagskoncern, som polisen beskriver som ”landets största privata aktör inom jordbruk, energi, infrastruktur och livsmedelsindustri”.
Polisen lyckas inte ringa in de misstänkta
Efter att ha förhört personal på Glesys fick polisen veta att hårdvaran tillhörde ett ryskt webbhotell från Sankt Petersburg. Denna hade i sin tur tecknat avtal med en annan kund.
– Vem detta är har vi inte lyckats få fram, säger åklagaren Johanna Kolga till DI.
Enligt DI har polisen genomfört en omfattande utredning men inte lyckats ringa in några misstänkta gärningsmän.
– De har granskat varenda del i hårddisken och nu kommer de inte längre”, säger Johanna Kolga.
Nu står hoppet till utländska myndigheter, enligt henne.
På den beslagtagna hårddisken fann man även barnpornografi och narkotikarelaterat material. Kolga har begärt tillstånd att förstöra disken så att nätverket inte får tillbaka filerna. Detta invände webbhotellet i Sankt Petersburg mot men Södertörns tingsrätt anser att åklagaren har rätt.
”Utifrån den information som åklagaren har lämnat finner tingsrätten att förutsättningarna för ett förverkande av nu aktuell egendom är uppfyllda.”
Webbhotellet har nu tre veckor på sig att överklaga till Svea Hovrätt.
Glesys ägare, falkenbergaren Glenn Johansson, är glad över polisens agerande.
– Att de plockat bort hårddisken från vår hall är självklart positivt. Vi har själva ingen rätt att övervaka någon information som går in och ut från kundernas servrar, säger han till DI.
LÄS MER:42 länder har cyberattackerats av Ryssland
LÄS MER:FRA får stödja privata företag mot attacker
LÄS MER:Cyberhoten från Ryssland: Så kan de iscensättas
Missa inte det senaste från GP Ekonomi!
Nu kan du få alla våra ekonominyheter, reportage och analyser som en liten notis direkt till din telefon genom att klicka på följ-knappen vid taggen Ekonomi. I mobilen finner du den under artikeln och på sajt överst till höger om artikeln.
Anmäl dig till vårt nyhetsbrev
GP Ekonomis Alexander Piauger blickar ut i den finansiella världen och kommer med aktuella spaningar och lästips.
För att anmäla dig till nyhetsbrevet behöver du ett digitalt konto, vilket är kostnadsfritt och ger dig flera fördelar. Följ instruktionerna och anmäl dig till nyhetsbrevet här.