"Det här händer när du sprider falsk propaganda". Ett anonymt Twitterkonto tog indirekt på sig attacken, hotade med fler angrepp under de kommande dagarna, och tystnade sedan. Twitterkontot är ett av polisens viktigaste spår i jakten på personen eller gruppen bakom överbelastningsattacken mot mediehusens servrar.

Att döma av det vi vet hittills pekar kontot österut. Men ingen tycks ännu ha tagit på sig ansvaret, säger Anders Ahlqvist, IT-brottsexpert på polisens nationella operativa avdelning (NOA).

Experterna har flera teorier om vem som kan tänkas ha ett intresse av att slå mot svensk nyhetsförmedling. Erka Koivunen, på datasäkerhetsföretaget F-secure, gissar att en uttråkad tonåring kan ha orkestrerat attacken från pojk- eller flickrummet.

Ryska nätaktivister

Det faktum att Twittermeddelandet skrevs på dålig engelska och inte på svenska och att attacken utfördes på kvällen under en helg, gör i alla fall att det inte finns tydliga eller uppenbara tecken på stor professionalitet eller att en stat ligger bakom, säger han.

Roland Heickerö, adjungerad professor i informationssäkerhet vid KTH i Stockholm, förklarar att ryska nätaktivister har legat bakom liknande attacker tidigare, till exempel mot Estland 2007 i samband med statybråket, och under kriget mellan Georgien och Ryssland 2008.

Man får gå tillbaka till vem som har intresse av det, och varför attackerna kommer just nu. Då får man titta på det storpolitiska maktspelet som pågår för tillfället, säger Heickerö till TT.

Attacken kan både ha varit en övning och en maktdemonstration.

Dels kan det vara ett sätt att kontrollera skyddet av olika slags kritisk informationsinfrastruktur, i det här fallet medierna. Det andra är att man kanske vill påvisa att man har resurser och förmåga att påverka ett lands system, eller påverka debatten och förmågan att fatta beslut, säger Roland Heickerö.

Sårbart IT-samhälle

David Jacoby, IT-säkerhetsexpert på företaget Kaspersky Lab, vill inte ge sig in i spekulationerna, men konstaterar att svenska myndigheter ger sken av att ha tagits på sängen.

Detta är ett säkert tecken på hur enormt sårbart vårt IT-samhälle är. Man har haft fel tänkesätt och riktat in säkerhetsarbetet på det nya, och glömt bort det som hänt förut. Detta var en gammal, klassisk attack, säger han.

Regeringen följer utvecklingen. Men:

Det är svårt att skydda sig mot den här typen av överbelastningsattacker, säger Anders Ygeman.
Oftast är den här typen av händelser någon form av manifestationer. Men vem eller vilka det rör sig om går det inte att ha någon rimlig uppfattning om.