Enligt amerikanska federala polisen FBI kommer hackarna från Mabna-institutet i Iran.
– Mabna-institutet är egentligen ett företag som grundades för att jobba med underrättelseverksamhet och som också har kontakter med iranska staten, säger Fredrik Blix, lektor i cybersäkerhet vid institutionen för data- och systemvetenskap vid Stockholms universitet.
Förutom att hackarna själva loggat in och försökt komma åt interna uppgifter, ska de ha delat med sig av uppgifterna till en underrättelseavdelning inom iranska armén, Islamic Revolutionary Guard Corps, IRGC.
Dessutom ska de ha sålt uppgifter de kommit över via iranska webbsidor.
– Vi vet inte mer än att Sverige och svenska forskare har blivit drabbade enligt FBI, inte vilka som har blivit drabbade, säger Fredrik Blix.
Universitetsläraren har varit i kontakt med flera stora svenska lärosäten utan att få några indikationer på att deras forskare varit utsatta.
Universitetsläraren har också frågat Säpo som svarar via mejl:
”Säkerhetspolisen känner till de aktuella uppgifterna men har inga ytterligare kommentarer. En del av Säkerhetspolisens uppdrag är att förebygga och avslöja olovlig underrättelseverksamhet som kan rikta sig mot Sverige. För att skydda Säkerhetspolisens operativa förmåga har vi en restriktiv hållning till att kommentera denna typ av verksamhet.”
Kan vara ute efter plagiera
Däremot har den norska polisens säkerhetstjänst varnat norska universitet för att 80 av deras forskare attackerats och fått dem att starta interna utredningar som bekräftat att 43 forskare vid universiteten i Oslo och Bergen blivit hackade, rapporterar NRK.
– Det verkar finnas flera olika skäl till intrången. Ett skäl är att komma över forskarnas opublicerade uppgifter för att plagiera forskning. Ett annat skäl är industrispionage, för exempelvis farmaciindustrin kan det vara mycket värdefullt att komma över ny forskning tidigt, säger Fredrik Blix.
Men hur har hackarna gått till väga?
Enligt FBI har de skickat mejl till cirka 100 000 forskare i 22 länder.
– De använder så kallad phishing, social ingenjörskonst snarare än datakunskap. De mejlar, låtsas ofta vara en känd kollega, och smickrar forskarna, säger Fredrik Blix.
I mejlen står det ungefär: ”Stort tack för din fina artikel. Men kan jag få tillgång till en annan av dina intressanta artiklar?”
Artiklarna kan hackarnas datasystem automatiskt leta upp.
Och så skickar hackarna med en länk som ser ut att gå till en databas, kanske universitetets, där forskaren brukar logga in. Men länken går till en falsk webbsida och när forskaren fyller i sitt användarnamn och lösenord lagrar hackaren dem i sin egen databas.
Om inte forskaren förstår att hen blivit rånad på sina inloggningsuppgifter kan hackarna sedan gå in och använda dem för att komma åt anteckningar, forskningsresultat, manus till opublicerade rapporter och så vidare.
– Orsaken till att det här fungerar är att forskarna och universiteten i dag använder molntjänster i mycket hög utsträckning. Det gör att om man har användarnamn och lösenord för en forskare så går de ofta till många olika resurser som man kan nå via internet från ett annat land utan att behöva hacka sig genom en brandvägg eller liknande.
Låg IT-säkerhet
Det är en spridd uppfattning att IT-säkerheten vid svenska universitet har brister.
– Generellt är förutsättningarna för att kunna hacka universitet förhållandevis goda. IT-säkerheten är generellt ganska låg på de flesta. Jag skulle säga att universiteten är sämre än kommunerna till och med, säger Fredrik Blix.
De attacker som FBI larmat om den här gången ska ha ägt rum under 2015. Men likande verksamhet pågår hela tiden.
– Det här företaget är inte ensamt om att jobba på det här sättet och cybersäkerhet håller på att bli en stor politisk fråga. Till exempel satsar Kina oerhörda resurser på att bygga upp universitet och institut bara för cybersäkerhet.
Men kan man som enskild forskare skydda sig från sådana här attacker?
– Man ska inte klicka på länkar i mejl från avsändare man inte känner och litar på. Och gör man det ska man ge sig tid att kontrollera att webbadressen verkar rimlig, säger Fredrik Blix.