En 25-åring som orsakat överbelastningsattacker mot fyra bolag som drabbat tusentals användare döms även i hovrätten för grovt dataintrång.
Den 27 juli 2021 inkom polisanmälan om överbelastningsattacker mot företaget Esportal. Fem olika målsägande sattes upp i ärendet, Admax Hosting, Wireline (även kallad Swedish Host), City Network International (även kallad Fragnet), GleSYS och Esportal.
Admax Hosting levererade nättjänster till Wireline, som i sin tur levererade servrar till Esportal. City Network levererade också servrar till Esportal. GleSYS levererade nättjänster till bland andra Admax Hosting. Alla dessa målsägande hade på något sätt drabbats av överbelastningsattackerna.
Hade blivit bannlyst
Vid en utredning visade det sig att en och samma användare loggat in kort innan samtliga överbelastningsattacker. Användaren hade år 2019 blivit bannlyst på Esportal med anledning av fusk. Vid en husrannsakan anträffades bland annat en påslagen dator där man anträffade tre olika överbelastningstjänster i datorn som man kan prenumerera månadsvis på eller betala varje gång.
25-åringen har medgivit ansvar för dataintrång, som inte är grovt, riktat mot Wireline och Admax under 5 dagar den 24 juli — 6 augusti 2021, gällande 87 attacker uppdelade på 15 brottsenheter genom tidsmässigt samband. Han har i förhör berättat att han inte visste att bolagen som drabbades av attackerna hade bland annat skolor, vårdcentraler och advokatbyråer som kunder. Det har han förstått i efterhand.
Han har dock förnekat att han ensam eller tillsammans och i samförstånd med någon annan, har gjort så många som 3 668 attacker den 20 juni — 6 augusti 2021. Han har också förnekat att varje enskild DDoS-attack allvarligt har stört eller hindrat användning av uppgifter som är avsedda för automatisera behandling, eftersom det krävs flera attacker tillsammans för att uppnå effekt och för att de skall betraktas som en allvarlig störning.
Han har också förnekat att attackerna orsakat skador uppgående till 1 210 149 kronor.
Dom i tingsrätten
Tingsrätten gjorde bedömningen att det genom den mycket omfattande bevisningen och polisens gedigna förundersökningsarbete, är utrett att målsägandena utsatts för överbelastningsattacker under den tid och i den omfattning åklagaren påstått.
”Det kan heller inte råda något tvivel om att attackerna varit uppsåtliga samt att knappast vem som helst kunnat både planera och utföra dem. Insamling av data före attackerna måste ha krävt en rätt stor kunnighet hos gärningsmannen”.
Tingsrätten finner att attackerna måste bedömas som en helhet och inte att varje attack utgjort ett enskilt brott. Enligt tingsrätten var visat att överbelastningsattackerna allvarligt stört och hindrat användningen av uppgifter som är avsedda för automatisk databehandling.
När tingsrätten utreder frågan om det är bevisat att 25-åringen är gärningsmannen pekar domstolen bland annat på ”en bestickande omständighet” att de mycket omfattande överbelastningsattackerna som hade pågått under sommaren ”såsom genom ett trollslag plötsligt upphörde vid gripandet av N.N den 6 augusti 2021”. Enligt domstolen är det svårt att inte i detta se en koppling till överbelastningsattackerna.
”Det som emellertid är mest besvärande för N.N är hans konversationer med kamrater på nätet. Där framgår det att han tar på sig flera attacker samt att han till och med alldeles före en attack kunnat förutspå att attacken skulle inträffa. Detta gör att det kan uteslutas att han endast skämtat eller velat verka betydelsefull. Tillsammans med övrig bevisning gör dessa omständigheter, att det ställts utom rimligt tvivel att N.N är rätt gärningsman och att han skall dömas för grovt dataintrång enligt åtalet”.
Straffvärdet uppgår till ett års fängelse. Mannen har suttit häktad med restriktioner i tre månader och han är tidigare ostraffad. Påföljden bestämdes i tingsrätten till villkorlig dom i förening med samhällstjänst.
Attackerna har skett uppsåtligen
Likt tingsrätten kommer hovrätten fram till att utredningen visar att attackerna skett uppsåtligen.
”Vidare visar utredningen att N.N har en sådan kunskap om överbelastningsattacker att han måste har förstått att attackerna som han utförde skulle orsaka målsägandena de störningar, hinder och skador som uppstått samt att han har agerat med likgiltighetsuppsåt i förhållande till att även en vidare krets än de fem målsägandebolagen skulle drabbas av vissa störningar till följd av attackerna”, skriver hovrätten som konstaterar att det anförda innebär sammantaget att 25-åringen ska dömas för dataintrång.
Även hovrätten kommer fram till att det rör sig om en brottsenhet.
Hovrätten pekar på att de överbelastningsattacker som 25-åringen utfört har skett vid ett stort antal tillfällen under 47 dagar. Det har framkommit att attackerna har ökat i intensitet över tid och orsakat allt allvarligare störningar och hinder i målsägandebolagens verksamheter.
”Härtill kommer att överbelastningsattackerna, som primärt har riktats mot Esportal AB och en specifik användare av Esportal AB:s speltjänst, har genomförts på ett sådant sätt att attackerna allvarligt har stört och hindrat samtliga målsägandebolag och härutöver orsakat störningar för en mer obestämd krets av bolagens kunder. Antalet målsägande som drabbats framstår därför som relativt slumpmässigt. Mot den bakgrunden gör hovrätten den bedömningen att det finns ett sådant nära samband mellan såväl de enskilda överbelastningsattackerna som deras angreppsobjekt att den åtalade gärningen ska anses utgöra en brottsenhet, det vill säga ett dataintrång”, skriver hovrätten och konstaterar att brottet ska rubriceras som grovt.
Vidare skriver hovrätten att eftersom det inte finns tillräckliga skäl för att bestämma påföljden till fängelse ska den villkorliga domen inte förenas med en föreskrift om samhällstjänst. Hovrätten anser även att det inte föreligger särskilda skäl att förena domen med böter med hänsyn till att 25-åringen har varit frihetsberövad i målet under nästan tre månader.
