Hemliga mejl: Svenska storbloggare utpressas
Nu kan Nyheter24 berätta vad som egentligen hände lördagen den 5 mars - dagen då en av Sveriges mest kända bloggar utsattes för en massiv hackerattack.– Det är läskigt, säger gaybloggaren Amir.
Under lördagen kunde Nyheter24 berätta om hur flera svenska bloggare drabbats av omfattande dataintrång.
Nu kan vi avslöja kopplingar till The Pirate Bay, hur mejl från polisens e-postserver fingerats och hur den nya tidens makthavare pressas på tiotusentals kronor.
Amir Akrouti, känd från Gaybloggen.com, var en av dem som råkade ut för de ödesdigra attacker som skedde mot svenska storbloggare under helgen.
– Det var skitjobbigt, berättar Amir Akrouti för Nyheter24.
Flera drabbade
Men Amir Akrouti är inte ensam om att ha attackerats av hackare de senaste dagarna.
Redan på fredagen rapporterade Desirée "Dessie" Nilsson att hon drabbats. Hon trodde dock att det berodde på hög trafik bland besökarna.
"Det hade dragits för mycket trafik så att servern som min blogg låg på krashat?! Hmm!", skrev Desirée Nilsson i ett inlägg.
Alexandra "Kissie" Nilsson, en av Sveriges absolut största bloggare, dementerade påståendet.
"Det var ett försök att hacka min blogg.. *suck* Den person gav sig på servern verkade det som eftersom alla som låg under samma drogs också ner, hehe sorry guys!!"
Så kommenterade Kissie nertiden som drabbat både henne och Desirée Nilsson - eftersom de båda ligger på samma server.
"Bögfettot är inte den sista"
I dag kan Nyheter24 i samarbete med Bloggmagazine berätta vad som egentligen hände och hur cyberkriget mot den svenska bloggosfären började.
Det var på lördagsmorgonen, när Amir Akrouti skulle uppdatera sin blogg, som han förstod att något fuffens var på gång.
– Jag kom inte in på min blogg och jag undrade ju vad fan det här var. Ibland strular ju bloggen i några minuter, men när jag gick in på bloggens startsida fattade jag att något inte stod rätt till, berättar han.
Amir - liksom hans tusentals läsare - möttes av ett meddelande där han erbjöds ladda ner en fil för att komma vidare på sidan. Vid nedladdning av den filen drabbades ens dator av virus.
– Sedan skulle jag kolla av min mejl och då stod det att jag hade fel lösenord.
– Då förstod jag att nu är det någon som har tagit kontroll över allt. Webbhotellet, bloggen, precis allt. Jag var inne på Facebook samtidigt och loggades ut därifrån helt plötsligt. När jag försökte logga in där släpptes jag inte in, säger han.
Facebookchattade i Amirs namn
I samma stund ringde hans vän Rosanna Charles upp och berättade att någon pratade med henne på Facebook - via Amir Akroutis konto.
Bland annat skrev hackaren följande:
"Bögfettot är varken den första eller sista som råkar ut för detta."
Och hoten fortsatte i chatten med storbloggaren Rosanna Charles:
"Vill han ha den [bloggen, reds anm.], så får han betala, vill han inte ha den så skiter jag väl i det, han kommer förlora sina besökare"
Via Twitter har Amir Akrouti kommunicerat med sina läsare under bloggens nertid. Men även den var på väg att kapas av hackaren.
– Sekunden innan jag hann byta lösenord fick jag mejl om att han hade försökt komma in, berättar Amir Akrouti.
Tre års arkiv saknas
Amir Akrouti har haft kontakt med webbhotellets huvudkontor i Danmark där man varit till stor hjälp.
Tack vare deras bistånd samt hjälp från Improveme.se som Amir Akrouti samarbetar med, lyckats återfå utrymmet och domännamnet som kidnappades.
– Men tre års arkiv är borta och min nya design är helt borta.
I en mejlkonversation mellan Kenan Harbas, reporter på Bloggmagazine, och Amir Akrouti får vi reda på att alla data som lagrats på servern är utom räckhåll för Amir.
"Databasen är raderad", skriver hackaren som för ett dygn lamslog Amir Akroutis bloggliv.
"Det kommer kosta"
När Amir Akrouti åter fick tillgång till sitt eget mejlkonto hade han fått ett meddelande från hackaren. Under ämnesraden "Om du vill ha dina filer tillbaka" skriver han följande:
"Så svarar du på detta mejl, det kommer att kosta en liten kosing, så du vet"
– Vi väntar på svar från webbhotellet och hoppas på att de har backup på inläggen i stället, för han kommer inte få några pengar, kommenterar Amir Akrouti.
Vad som är än mer anmärkningsvärt är avsändaren i mejlet som Nyheter24 exklusivt tagit del av.
Från adressen "homo@polisen.se" kommer mejlet som pressar Amir Akrouti på pengar.
Via någonting som kallas för "mejlspoofing" kan hackare fejka mejl från olika domäner utan att nödvändigtvis ha inloggningsuppgifter till mejlservern. Det är troligtvis så hackaren gått tillväga i det här fallet.
– Det är helt galet, säger Amir Akrouti.
Har du polisanmält det här?
– Nej, inte än. Jag vill veta mer och få ett namn på killen som gjort det innan jag gör något. Annars är jag säker på att fallet kommer läggas ner, och det ska det inte göras, säger Amir Akrouti.
I konversationen med Rosanna Charles nämner hackaren att han gjort samma sak mot Alexandra "Kissie" Nilsson som fått betala 15 000 kronor för att återfå sin blogg.
– Jag har pratat med Alexandra och hon är säker på att det är samma kille. Det stämmer att han krävt henne på 15 000 kronor, men hon har inte betalat. De fixade något eget för att återfå bloggen. Men han har varit inne på hennes server, ja.
Koppling till TPB
Nyheter24 har under helgen haft mejlkontakt med hackaren. När vi, klockan 18:26 den 5 mars, försökte nå hackaren via mejl för en kommentar kring attacken fick vi följande till svar:
"Inte mycket jag kan tillägga egentligen, har ni några frågor däremot så kan jag besvara dom"
Varför gör du det här?
– Ingen särskild anledning, det är kul med IT-säkerhet och lite extra pengar är okej, skriver hackaren i ett mejl till Nyheter24.
Tänker du läcka några av de uppgifter du fått tillgång till i mejlkonton och liknande?
– Det finns en hel del smaskiga bilder bögen har tagit på sig själv, däribland nakenbilder och lite annat som absolut kommer läckas inom kort.
– Funderar just nu bara på hur - man vill ju att skiten träffar fläkten ordentligt, skriver han och bifogar en bild på vad som påstås vara Amir Akroutis rumpa.
Du benämner Amir Akrouti som bögfetto i en konversation med Rosanna Charles. Varför då?
– För att han är bög och fet. Jag menar, come on. Ickefråga, avslutar hackaren.
Spåren efter mejlkonversationen leder fram till Gottfrid Svartholm Wargs bolag Periquito AB.
Samtliga e-postadresser, som man känner till används av hackaren, är registrerade på en domän som Gottfrid Svartholm Warg och hans företag står bakom.
Grundade Pirate Bay
Svartholm Warg är en av personerna bakom fildelningssajten The Pirate Bay. Tillsammans med Fredrik Neij grundade de båda The Pirate Bay och drev tillsammans Periquito AB fram tills 2008 då det såldes till utländska investerare.
Företaget erbjuder kunder möjligheten att registrera ett domännamn via dem. På så vis är det företaget som står bakom domännamnet på papperet, medan de faktiska användarna kan agera i skymundan och under anonymitet.
I det här fallet kan det alltså röra sig om en eller flera personer som velat kommunicera med omvärlden utan att röja sin identitet, och som därför tagit hjälp av Periquito AB som ställt upp som målvakter.
– Oavsett vad man tycker om anonymiserade domänregistreringar så finns det många situationer där någon grad av anonymitet kan vara önskvärd. Det öppnar för anonymisering som affärsidé, säger Nikke Lindqvist, internetguru, till Nyheter24 och fortsätter:
– Det är långt ifrån bara PRQ som ebjuder det som tjänst, men de är ett av de få företagen som gör det så här öppet.
När Nyheter24 berättar om upptäckten för Amir Akrouti suckar han.
– Det är ju proffs vi har att göra med i alla fall, säger han.
"En läskig känsla"
Amir Akrouti känner sig förnärmad av utpressningen och är märkbart ledsen efter attackerna.
– Det är en läskig känsla, inte något som händer varje dag. Någon har snott tre år av mitt liv och vill att jag ska betala för att få tillbaka dem. Makes no sense, säger Amir Akrouti.
Du är homosexuell, vilket hackarna återkommer till. Tror du det är därför de har gett sig på dig?
– Man ska aldrig säga aldrig. Jag är en människa som alltid stuckit ut ur mängden på alla möjliga sätt och vis. Det stör vissa, och vissa stör det lite extra, avslutar Amir Akrouti.
Fotnot: Nyheter24 har förgäves sökt talespersoner för Periquito AB samt Gottfrid Svartholm Warg.
