Hackergrupp läckte CGI-kod på darknet, experter varnar för långsiktiga risker
Foto: AI-genererad illustration
Hackergruppen ByteToBreach påstår sig ha publicerat källkod, lösenord och krypteringsnycklar från it-företaget CGI Sverige på darknet, information som används av svenska myndigheter. CGI bekräftar en incident men uppger att inga produktionsmiljöer påverkats.
Experten: "De hittar alltid något"
It-säkerhetsexperten och hackaren André Catry varnar för att konsekvenserna kan bli betydligt större än vad som framgår i nuläget. Tillgång till källkoden ger angripare möjlighet att analysera systemet på djupet, bygga upp en identisk miljö och metodiskt leta efter svagheter.
– Har man tillgång till källkod för hela plattformen kan man sitta hemma och göra analyser. Då ser man sårbarheterna direkt i koden, säger Catry till TV4 Nyheterna.
Han beskriver det läckta materialet som ett facit för framtida attacker.
– När man ser all kod misslyckas man i princip aldrig med att hitta sårbarheter. Det finns miljontals rader och då hittar man alltid något, säger han.
Catry pekar också på att angriparna genom läckan fått insyn i plattformens hela komponentstruktur, inklusive vilka underleverantörer som ingår. Det ger förutsättningar för förberedda attacker långt in i framtiden.
– Fienden vet nu hur systemet är byggt. De kan sitta hemma och fundera på var svagheterna finns och bara testa om det funkar, säger Catry.
Han lyfter fram ett konkret scenario där ett angrepp inte ens behöver riktas mot Bank-id direkt.
– De kan attackera systemet mellan Bank-id och Skatteverket. Då går det plötsligt inte att logga in för att deklarera. Det blir störningar och tillitsproblem, vilket är precis vad många cyberoperationer vill åstadkomma, säger han.
ByteToBreach bedöms vara en liten, pengamotiverad grupp
Cybersäkerhetsexperten Marcus Murray beskriver ByteToBreach som en relativt ny aktör som dök upp runt sommaren 2025, utan kännetecken från statsstödda grupper. Gruppen arbetar primärt med utpressning snarare än statliga cyberoperationer.
– Det är ingen stor aktör. De gör inte mängder av intrång som sticker ut. Det är ofta små, riktade attacker där de vill tjäna pengar och alternativt skapa oro, säger Murray.
Att koden lagts ut gratis på darknet, medan databaser med personuppgifter om svenska medborgare säljs separat, stärker bilden av ekonomiska motiv. Catry delar den bedömningen och utesluter rysk statlig inblandning.
– Hade det varit ryska staten hade de inte lagt ut koden öppet. De hade bara tagit den och analyserat den i tysthet, säger han.
Skatteverket, en av de myndigheter som använder CGI:s tjänster, avfärdar att myndighetens data skulle ha exponerats.
– Varken vår data eller våra användares data har läckt, säger Peder Sjölander, it-direktör på Skatteverket, till SVT Nyheter.
CGI uppger i ett skriftligt uttalande att incidenten rör två interna testservrar som inte används i produktion, och att ett system med en äldre version av källkoden till en applikation också varit åtkomligt. Cert-SE, som arbetar under Myndigheten för civilt försvar, har inlett arbete med ärendet. Deklarationstjänsten öppnar nästa vecka.
