Verden

USAs etterretning varslet ikke om sikkerhetshullet som åpnet for kjempeangrepet

NSA ble frastjålet avansert datavåpen. – Det er som om det amerikanske militæret ble frastjålet Tomahawk-missiler, sier Microsoft.

Dataviruset WannaCry betegnes av mange som ett av de største dataangrepene i verden. Hittil er minst 300.000 datamaskiner i flere enn 150 land rammet. Fra soverommet sitt hjemme i Sør-England hindret Marcus Hutchins at viruset ble spredt enda bredere. Frank Augstein / AP / NTB scanpix

  • Per Anders Johansen
  • Tarjei Kramviken
  • Trond J. Strøm

Løsepengeviruset «WannaCry» har ført til store problemer rundt om i verden, og det «smittet» lynraskt fra maskin til maskin i helgen.

Men den 22 år gamle britiske dataeksperten Marcus Hutchins kalles nå en helt fordi han bidro til at viruset ikke gjorde enda større skade.

Natt til lørdag satt han foran PC-en og så hvordan dataangrepet spredte seg. Da oppdaget han at en av nettadressene angriperne brukte, ikke var registrert. 22-åringen kjøpte domenet for 10 dollar for å studere angrepet nærmere.

Det han ikke visste, var at han dermed aktiverte det som tilsynelatende fungerte som en «av-knapp», skriver The Telegraph.

– Jeg er ikke en helt, sier Hutchins selv til nyhetsbyrået AP.

22-åringen, som jobber for amerikanske Kryptos Logic fra soverommet sitt hjemme i Ilfracome i Sør-England, snublet over løsningen da han analyserte deler av koden til dataviruset.

Marcus Hutchins blir kalt en helt etter at han bidro til å begrense skaden fra det skadelige dataviruset. Frank Augstein / AP / NTB scanpix

Løsepengevirus

«WannaCry» infiserte over 300.000 datamaskiner og skapte store problemer flere steder i verden.

  • I Storbritannia fikk helsevesenet trøbbel.
  • Russisk politi klarte ikke å utstede førerkort. 1000 ansatte i det russiske innenriksdepartementet mistet alt de hadde på sine PC-er.
  • Franske Renault stengte flere fabrikker fordi datasystemene var nede.

Viruset låser innholdet på en maskin og krever 300 dollar (2551 kroner) for å låse det opp igjen.

Det ble opprinnelig utviklet av den amerikanske etterretningstjenesten National Security Agency (NSA) og rammer dem som har en uoppdatert versjon av operativsystemet Windows.

Står Nord-Korea bak?

Sikkerhetseksperter knytter nå dataormen, det vil si et datavirus som spres av seg selv, til Nord-Korea.

Sikkerhetsselskapene Kaspersky og Cymantecs eksperter sa mandag at en del av koden i eldre versjoner av WannaCry, tidligere er blitt brukt av den nordkoreanske hackergruppen Lazarus.

Det kan tyde på at det var nordkoreanske hackere som fikk tilgang til NSA-verktøyet og videreutviklet det.

Tirsdag kom også analytikere i det sørkoreanske selskapet Hauri frem til det samme. Lazarus sto blant annet bak den mye omtalte hackingen av filmgiganten Sony Pictures i 2014.

Verktøyet som datakriminelle har brukt til å gjennomføre WannaCry-angrepet, ble opprinnelig utviklet av det vanligvis hemmelighetsfulle National Security Agency. 14. april ble stjålne filer fra NSA lagt åpent ut på nett av gruppen ShadowBrokers, slik at hackere over hele verden har fått tilgang til et avansert verktøy for å gjennomføre dataangrep. Patrick Semansky / AP / NTB scanpix

«TheShadowBrokers»

Gruppen som har lekket NSAs hackerverktøy til omverden, kaller seg for «TheShadowBrokers».

Hvordan de har fått tak i materialet fra NSA, er det ingen som vet. Gruppen dukket opp første gang sommeren 2016. Siden den gang har de i fem omganger offentliggjort det stjålne NSA-materialet.

14. april fikk hackere tilgang til ni avanserte «datavåpen». Ett av sikkerhetshullene ble brukt i angrepet i helgen.

Hackerne bruker NSA-utviklet hacker-verktøy

Microsofts sjefjurist rettet mandag hard kritikk mot NSA:

«Det er som om det amerikanske militæret skulle bli frastjålet noen av sine Tomahawk-missiler», skriver Brad Smith.

CIA og NSA samler opp sikkerhetshull og svakheter for å bruke dem til spionasje og overvåking – i stedet for å advare selskapene og publikum om feilene. Det samme gjør andre lands etterretningstjenester.

«Angrepet er et eksempel på hvorfor det er et problem at myndighetene lagrer opp sårbarheter», skriver Microsoft-toppen.

NSA har så langt ikke kommentert dataangrepet eller kritikken fra Microsoft.

På avgangstavlen på jernbanestasjonen i Chemnitz i Tyskland var det etter hackerangrepet vanskelig å se når toget gikk. Viruset hadde ingen påvirkning på selve trafikken, men datamaskinen som styrte tavlen, ble tatt «som gissel» av viruset. Derfor dukket løsepengekravet opp på skjermen. P. Goetzelt / AP / NTB scanpix

– Mislykket angrep

Selv om angrepet har spredt seg over hele verden og har fått stor oppmerksomhet, mener sikkerhetsekspert Per Thorsheim at det i all hovedsak er mislykket.

– Det er med tanke på hvor lite penger de har fått inn, og at politi og myndigheter i 70 land nå er etter bakmennene, sier han.

Mandag ettermiddag hadde det blitt betalt inn i underkant av 54.000 dollar, som tilsvarer omtrent 460.000 norske kroner, til bitcoin-kontoen.

Ingen aner hvem som står bak dekknavnet ShadowBrokers, som har lekket hackerverktøy fra amerikanske NSA de siste åtte månedene. Det er den siste av fem lekkasjer som nå har gitt datakriminelle adgang til avanserte metoder for dataangrep og utpressing. KACPER PEMPEL / REUTERS

Hvem står bak?

Det er flere teorier knyttet til hvem som har lekket NSAs «verktøykasse», slik at hackere over hele verden nå kan gjennomføre dataangrep som de ellers ikke ville hatt ressurser til å utvikle.

– Vi vet egentlig ikke så mye om hvem som står bak angrepet. Men det vil samle etterforsknings- og politiressurser fra hele verden, så jeg blir ikke veldig overrasket om noen blir tatt ganske snart, sier sikkerhetsanalytiker Snorre Fagerland i IT-selskapet Symantec.

Slik så meldingen som dukket opp på mange skjermer ut. Angriperne krever bitcoin tilsvarende 300 dollar for å gi brukerne tilbake tilgangen til innholdet på datamaskinene deres. Om ikke det blir betalt, truer programmet med å slette dataene til brukeren. Bitcoin er en digital valuta som er svært vanskelig å spore. @fendifille (fra Twitter) / AP / NTB scanpix

1. Datakriminelle miljøer som er ute etter løsepenger?

En teori er at «Shadow Brokers» er datakriminelle som har prøvd å presse Microsoft og andre selskaper for penger – uten å lykkes.

Allerede i august i fjor prøvde gruppen å selge NSA-verktøyene til høystbydende.

Et annet argument for denne teorien er at Microsoft allerede 14. mars advarte mot fire alvorlige sårbarheter i Windows. Mange ble overrasket over at Microsoft ikke oppga hvem som hadde oppdaget feilen, noe som er vanlig.

Det tolkes som om hackerne kan ha tipset Microsoft på forhånd om den forestående lekkasjen, ifølge nettstedet Engadet. Samtidig kan de ha blitt advart av NSA.

KACPER PEMPEL / REUTERS

2. Internettaktivister med en politisk agenda?

I sin nest siste lekkasje skrev «Shadow Brokers» et brev på dårlig engelsk adressert til president Donald Trump. Der påstår de at de stemte på ham og er anti-globalister, men nå «mister vi troen på deg».

De begrunner det blant annet med Tumps bombing av Syria, hans valg av regjeringsmedlemmer og konflikt med de mest konservative republikanerne i Kongressen.

Siden har ikke gruppen kommet med noen offentlige uttalelser på sin Twitter-konto, og det er vanskelig å se hvordan et slikt løsepengevirus skulle fremme noen politisk agenda.

Pasienter står i kø ved kreftsykehuset Dharmais i Jakarta i Indonesia mandag morgen. På skiltet står det at køsystemet til sykehuset er slått ut av dataangrepet. Dita Alangkara / AP / NTB scanpix

3. Russere, en gang til?

Så langt har hackerangrepene vært ekstra skadelig for NSAs omdømme.

Slik de russiske etterretningsorganisasjonene GRU, FSB og SVR opererer og tenker, vil ethvert tilbakeslag for USA oppfattes som positivt for Russland.

Men: Russland ble hardest angrepet av viruset. 57 prosent av de virusinfiserte PC-ene er russiske, ifølge avisen Kommersant. I tillegg til politiet og innenriksdepartementet ble både mobilselskaper og det statlige togselskapet slått ut.

– Russland har absolutt ingenting å gjøre med dette, sa Russlands president Vladimir Putin mandag.

Minimal betydning i Norge

I Norge fikk angrepet små konsekvenser fordi vi har en relativt ny maskinpark med oppdatert programvare, opplyser Håkon Bergsjø, som leder operasjonssenteret til Nasjonal sikkerhetsmyndighet (NSM).

– Det nye med dette viruset er at det spredte seg fra maskin til maskin helt av seg selv. Vanligvis må noen klikke på noe, som et vedlegg i en e-post. Vi har ikke sett en slik kombinasjon av en orm og løsepengevirus før, sier Bergsjø.

Sikkerhetshullet viruset utnyttet, har vært kjent en stund og Microsoft tettet det i mars. Derfor ble bare maskiner som ikke var oppdatert, rammet.

Vi videreutvikler våre artikler.
Hjelp oss å forbedre, gi din tilbakemelding.
Gi tilbakemelding

Les mer om

  1. Internett
  2. Datavirus

Relevante artikler

  1. VERDEN

    Norske fotballklubber og bedrifter rammet av internasjonalt dataangrep

  2. VERDEN

    I Nord-Korea er hackerne håndplukket og en del av eliten

  3. VERDEN

    Ukraina svarer Russland med full cyberkrig. Blokkerer nett-tjenester til 15 millioner ukrainere.

  4. VERDEN

    Kamp om det åpne nettet: Amerikansk lovforslag kan innskrenke internettilgangen i USA

  5. VERDEN

    Statsministeren skjerper tonen kraftig etter angrepet. Om fire dager er det valg.

  6. VERDEN

    Dataekspert som stanset virus er pågrepet av FBI