Deras datorer attackeras av ett oerhört avancerat virus som sedan lagrar uppgifterna upp på Cloudme, en Dropbox-liknande molntjänst från Linköping.
För Linköpingsbolaget Cloudme är det obehagligt att bli inblandade i ett sådant angrepp. Nu jobbas det hårt för att hitta och ta bort de tiotusentals konton som används av viruset. Efter att amerikanska Forbes skrev om avslöjandet 10 december blev Daniel Arthursson, vd för Cloudme, uppringd av journalister från hela världen.
Samtliga ville veta hur bolaget Cloudme reagerar och varför "spionerna" valde att lagra spiondatan just på deras molntjänst.
– Antagligen valde de oss för att Sverige är en neutral nation och för den höga säkerhet som Cloudme har. USA kan inte komma åt uppgifterna i vår molntjänst, säger han.
Daniel Arthursson påpekar att vanliga användare av deras tjänst inte påverkas. Trojanen som används av "spionerna" sprids inte via Cloudme och det är helt vanliga konton som trojanen laddar upp spiondatan på. Detta påverkar vanliga användare lika lite som de filer en annan användare laddar upp på sitt eget konto.
Sprids via mejl
Trojanen sprids bland annat genom ett mejl som ser trovärdigt ut men som innehåller ett virus och som "spionerna" skickar till de utvalda personerna. När mottagaren öppnar mejlet och klickar på den bifogade filen gömmer sig viruset i datorn och inväntar vidare instruktioner från angriparna som gömmer sig i flera led. Därför är det svårt att upptäcka var det hela började eller vam som ligger bakom.
– Det har förekommit uppgifter som inte stämde med utplacerade ledtrådar som pekade mot Spanien, Ryssland och USA. Viruset byter hela tiden skepnad och lägger falska ledtrådar för att förvirra de som letar, bland annat hade de tagit över bredbandsmodem i Sydkoreanska hem och använt för att fjärrstyra viruset, säger Daniel Arthursson.
Det var Blue Coat Labs och Kaspersky Lab, ett norskt respektive engelskt säkerhetsbolag, som via sina kunder upptäckte den omfattande spionagekampanjen. Snorre Fagerland och Waylon Grange, IT-experter på Blue Coat Labs, gav viruset namnet Inception och Cloud Atlas och beskrev det som "ett av de mest sofistikerade som de någonsin har sett". Viruset fick sitt namn eftersom det skapar ett konto på Cloudme, lagrar uppgifter där och försvinner.
Många inblandade
– Efter avslöjandet försöker nationella säkerhetstjänster från många länder att ta reda på vilka som ligger bakom. Viruset attackerar kirurgiskt, det vill säga angriper datorer, androidtelefoner och iphone som tillhör tusentals specifikt utvalda personer. Därför måste det vara många personer inblandade för att klara av en sådan omfattande operation, säger Daniel Arthursson.
Han tror alltså inte att det handlar om några enstaka hackers som spionerar utan om något land eller en organisation med stora muskler. Majoriteten av de drabbade är enligt Blue Coat Labs högt uppsatta militärer eller banktjänstemän i Ryssland, stora företagare från oljeindustri i Sydamerika, diplomater från flera europeiska och sydamerikanska länder.
– Det är troligt att alla länder på något sätt är drabbade men att det inte har upptäckts än. Det är också en påminnelse till allmänheten att tänka på hur de hanterar sina uppgifter.