Elon Musk hävdar att den omfattande överbelastningsattacken mot den sociala plattformen X styrdes från Ukraina:
– Vi är inte säkra på exakt vad som hände, men det var en massiv cyberattack för att försöka få ner X-systemet, med IP-adresser från Ukrainaområdet, sa Elon Musk i en intervju med Fox Business på måndagseftermiddagen.
X drabbades av tekniska problem under måndagen med långa svarstider och periodvis så kunde tjänsten inte nås av ett stort antal användare.
Elon Musk antydde först att det kunde vara Ukraina, alternativt ukrainska IP-nummer som låg bakom attacken, alltså en statsunderstödd attack. Senare i en intervju med Fox Business News så pekade han ut Ukraina och hävdade att attacken kom ifrån landet. Nu ska tilläggas att när det gäller den här typen av överbelastningsattacker, DDoS, så är det vanskligt, för att inte säga mycket vanskligt att försöka att peka ut vissa enskilda länder som skyldiga.
Analyser
I det här fallet så visar analyser att en större del av trafiken gick via bland annat via Vietnam och Brasilien – vilket inte är detsamma som att attackerna startade eller styrdes från något av de länderna. Du kan helt enkelt inte göra en sådan tolkning eller dra sådana slutsatser vilket alla, som kan och vet något om DDoS-attacker också känner till.
Tänk dig att du har ett gigantiskt stort nätverk med datorer, kameror, routrar, switchar och andra uppkopplade prylar. Ett nät som du kontrollerar, kan styra, och vars trafik du kan rikta ut olika håll. Detta är ett så kallat botnet, ett nät bestående av botar, kapade enheter runt om i hela världen. Med mjukvara så skickar detta gigantiska nät all utgående trafik mot ett och samma håll – i det här fallet mot X servrar. Mängden trafik dränker till slut det drabbade systemet som inte klarar att hantera all inkommande trafik. Teknisk så är detta en enkel attack som bygger på matematik och mängder med data. Skicka mer data mot ett system än detta system klarar av att hantera så kommer det drabbade systemet att sluta att svara, att krascha och inte vara tillgängligt.
Finns det IP-nummer från vissa länder med i trafiken så tyder det snarare på att det finns kapade enheter i de länderna än att attacken skulle vara styrd från ett visst land.
Dark Storm Team
Check Point Research (CPR), en forskargrupp som studerar cyberhot, uppger för Newsweek att The Dark Storm Team, en pro-palestinsk cyberattackgrupp har tagit på sig ansvaret för attacken mot X. Gruppen är känd för att ha iscensatt liknande attacker riktade mot västerländska företag och organisationer, i USA, Ukraina, Förenade Arabemiraten och Israel bland andra. Gruppen tycks nu vara aktiv igen efter en längre periods tystnad.
The Dark Storm Team under den senaste månaden attackerat kritisk infrastruktur, inklusive Los Angeles International Airport (LAX), Haifa Port i Israel och Förenade Arabemiratens försvarsministerium med likande typ av attacker.
Via ett meddelande på Telegram, som nu har raderats, så har gruppen tagit på sig attacken riktad mot Elon Musks X.
Statsunderstödd
Det faktum att det handlar om en DDoS-attack talar mot att det skulle handla om en statsunderstödd attack som Elon Musk hävdar. Statsunderstödda hackare använder ytterst sällan överbelastningsattacker av den här typen därför att de är ute efter att antingen slå ut ett system permanent eller ta sig in för att komma över viktig information. DDoS-attacker används däremot mycket mera ofta av fristående grupper, så som The Dark Storm Team, vilket inte ska tolkas som en bekräftelse på att det verkligen är just denna grupp som ligger bakom attacken mot X. Det stämmer däremot bättre in, historiskt och erfarenhetsmässigt, för hur fristående grupper attackerar företag, organisationer, medier, politiska motståndare och så vidare. Målet är att skapa uppmärksamhet, det rakt motsatta mot vad statsunderstödda hackare önskar. De vill förbli oupptäckta så länge det går.
The Dark Storm Team har också, precis som hackargruppen Anonymous Sudan, lierat sig med ryska hackare. Anonymous Sudan gjorde sig kända för att med liknande attacker slå till mot en rad svenska företag, skolor, universitet och mediabolag under 2022 och 2023. I oktober 2024 slog polis till mot den gruppens infrastruktur (datorer och nätverk), flera av de ansvariga greps. Anonymous Sudan, som inte har någonting med gruppen Anonymous att göra, använde ryska botnet i sina attacker och samarbetade också med fristående ryska hackare.
Det finns fler likande grupper som agerar utifrån en pro-rysk agenda. Ett annat exempel är NoName057(16) som attackerade en rad svenska bolag, Skatteverket, Jernhusen, SJ, SL, PTS, Riksgälden, Finansinspektionen, Nyhetsbyrån, Försvarsmakten, riksdagen, SJ, och Trafikverket våren 2023.
Stämmer inte
Elon Musks påståenden stämmer helt enkelt inte med hur fristående hackaregrupper agerar i en jämnförelse med statsunderstödda hackare. Deras attackmetoder är helt olika liksom deras syften och mål. Enkelt uttryckt så vill de fristående grupper skapa uppmärksamhet medan de statsunderstödd grupperna vill det rakt motsatta. DDoS-attacker kan ses som en slags aktivism, avsedd för att skapa uppmärksamhet, för att synas.
Texten ovan bygger på mina egna erfarenheter efter att ha arbetat med data- och informationssäkerhet sedan slutet av 1980-talet. Den bygger också på samlade erfarenheter och rapporter som säkerhetsforskare har gjort samt på den samlade tekniska kunskap som finns när det gäller DDoS-attacker tillsammans med analyser och studier som gjorts av statsunderstödda hackargrupper. Texten ska inte ses som en bekräftelse eller som ett påstående om att en viss grupp ligger bakom attacken mot X men den ska ses som ett påstående om att mycket lite, för att säga ingenting, talar för att Elon Musk har rätt i sina påståenden.