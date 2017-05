Løsepengeviruset «WannaCry» har ført til store problemer rundt om i verden, og det «smittet» lynraskt fra maskin til maskin i helgen.

I Storbritannia fikk helsevesenet store problemer.

Russisk politi klarte ikke å utstede førerkort. 1000 ansatte i det russiske innenriksdepartementet mistet alt de hadde på sine PC-er.

Franske Renault stengte flere fabrikker fordi datasystemene var nede.

Viruset låser innholdet på en maskin og krever 300 dollar (2551 kroner) for å låse det opp igjen.

Det ble opprinnelig utviklet av den amerikanske etterretningstjenesten National Security Agency (NSA) og rammer dem som har en uoppdatert versjon av operativsystemet Windows.

Minimal betydning i Norge

I Norge fikk angrepet små konsekvenser fordi vi har en relativt ny maskinpark med oppdatert programvare, opplyser Håkon Bergsjø, som leder operasjonssenteret til Nasjonal sikkerhetsmyndighet (NSM).

– Det nye med dette viruset er at det spredte seg fra maskin til maskin helt av seg selv. Vanligvis må noen klikke på noe, som et vedlegg i en e-post. Vi har ikke sett en slik kombinasjon av en orm og løsepengevirus før, sier Bergsjø.

Sikkerhetshullet viruset utnyttet, har vært kjent en stund og Microsoft tettet det i mars. Derfor ble bare maskiner som ikke var oppdatert, rammet.

– Oppetid og driftssikkerhet prioriteres ofte høyere enn oppdateringer. Noen steder ser man derfor at oppdateringer blitt utsatt, sier sikkerhetsanalytiker Snorre Fagerland i IT-selskapet Symantec.

«TheShadowBrokers»

Gruppen som har lekket NSAs hackerverktøy til omverden, kaller seg for «TheShadowBrokers».

Hvordan de har fått tak i materialet fra NSA, er det ingen som vet. Gruppen dukket opp første gang sommeren 2016. Siden den gang har de i fem omganger offentliggjort det stjålne NSA-materialet.

14. april fikk hackere tilgang til ni avanserte «datavåpen». Ett av sikkerhetshullene ble brukt i angrepet i helgen.

Hackerne bruker NSA-utviklet hacker-verktøy

Microsofts sjefjurist rettet mandag overraskende hard kritikk mot NSA.

«Det er som om det amerikanske militæret skulle bli frastjålet noen av sine Tomahawk-missiler», skriver Brad Smith.

«Vi har sett sikkerhetshull CIA hadde samlet opp, dukke opp på Wikileaks, og nå har denne svakheten, stjålet fra NSA, påvirket kunder rundt om i hele verden», skriver han.

CIA og NSA samler opp sikkerhetshull og svakheter for å bruke dem til spionasje og overvåking – i stedet for å advare selskapene og publikum om feilene. Det samme gjør andre lands etterretningstjenester.

«Angrepet er et eksempel på hvorfor det er et problem at myndighetene lagrer opp sårbarheter», skriver Microsoft-toppen.

NSA har så langt ikke kommentert dataangrepet eller kritikken fra Microsoft.

– Mislykket angrep

Selv om angrepet har spredt seg over hele verden og har fått stor oppmerksomhet, mener sikkerhetsekspert Per Thorsheim at det i all hovedsak er mislykket.

– Det er med tanke på hvor lite penger de har fått inn, og at politi og myndigheter i 70 land nå er etter bakmennene, sier han.

Mandag ettermiddag hadde det blitt betalt inn i underkant av 54.000 dollar, som tilsvarer omtrent 460.000 norske kroner, til bitcoin-kontoen.

Hvem står bak?

Det er flere teorier knyttet til hvem som har lekket NSAs «verktøykasse», slik at hackere over hele verden nå kan gjennomføre dataangrep som de ellers ikke ville hatt ressurser til å utvikle.

– Vi får kanskje aldri vite identiteten til ShadowBrokers, skrev hackernettstedet Hacker Fantastic.

Lekkasjen fra ShadowBrokers gjorde at andre hackere kunne utnytte sikkerhetshullet og NSA-våpenet til å presse folk for penger.

– Vi vet egentlig ikke så mye om hvem som står bak angrepet. Men det vil samle etterforsknings- og politiressurser fra hele verden, så jeg blir ikke veldig overrasket om noen blir tatt ganske snart, sier Fagerland i Symantec.

1. Datakriminelle miljøer som er ute etter løsepenger?

En teori er at «Shadow Brokers» er datakriminelle som har prøvd å presse Microsoft og andre selskaper for penger – uten å lykkes.

Allerede i august i fjor prøvde gruppen å selge NSA-verktøyene til høystbydende.

Et annet argument for denne teorien er at Microsoft allerede 14. mars advarte mot fire alvorlige sårbarheter i Windows. Mange ble overrasket over at Microsoft ikke oppga hvem som hadde oppdaget feilen, noe som er vanlig.

Det tolkes som om hackerne kan ha tipset Microsoft på forhånd om den forestående lekkasjen, ifølge nettstedet Engadet. Samtidig kan de ha blitt advart av NSA.

2. Internettaktivister med en politisk agenda?

I sin nest siste lekkasje skrev «Shadow Brokers» et brev på dårlig engelsk adressert til president Donald Trump. Der påstår de at de stemte på ham og er anti-globalister, men nå «mister vi troen på deg».

De begrunner det blant annet med Tumps bombing av Syria, hans valg av regjeringsmedlemmer og konflikt med de mest konservative republikanerne i Kongressen.

Siden har ikke gruppen kommet med noen offentlige uttalelser på sin Twitter-konto, og det er vanskelig å se hvordan et slikt løsepengevirus skulle fremme noen politisk agenda.

3. Russere, en gang til?

Så langt har hackerangrepene vært ekstra skadelig for NSAs omdømme.

Slik de russiske etterretningsorganisasjonene GRU, FSB og SVR opererer og tenker, vil ethvert tilbakeslag for USA oppfattes som positivt for Russland.

FBI, CIA og NSA har tidligere koblet russisk etterretning til hackingen i forkant av presidentvalget i USA, men ikke til dette angrepet.

Russland ble hardest angrepet av viruset. 57 prosent av de virusinfiserte PC-ene er russiske, ifølge avisen Kommersant. I tillegg til politiet og innenriksdepartementet ble både mobilselskaper og det statlige togselskapet slått ut.

– Russland har absolutt ingenting å gjøre med dette, sa Russlands president Vladimir Putin mandag.

22-årig brite hindret større skade

Den 22 år gamle britiske dataeksperten Marcus Hutchins har fått skryt for å ha bidratt til at WannaCry-viruset ikke gjorde enda større skade.

Natt til lørdag satt han foran PC-en og så hvordan dataangrepet spredte seg. Da oppdaget han at en av nettadressene angriperne brukte, ikke var registrert. 22-åringen kjøpte domenet for 10 dollar for å studere angrepet nærmere.

Det han ikke visste, var at han dermed aktiverte det som tilsynelatende fungerte som en «av-knapp», skriver The Telegraph.

– Det gjorde at angrepet gikk saktere enn forventet, sier Thorsheim. Han mener det er vanskelig å si om det er annet enn amatører som står bak viruset.