Sådan blev NSA's hemmelige våben til virus på tusindvis af computere

Fredagens hackerangreb har haft store konsekvenser verden over.

Virussens tur fra NSA til computere i 99 lande begyndte sidste år i august. (Foto: Simon Læssøe © Scanpix)

Siden i går har myndigheder, organisationer og virksomheder verden over meldt om angreb eller forsøg på angreb af en virus, der tager filer og data på computere som gidsler.

Ifølge det europæiske politisamarbejde Europol er det globale cyberangreb uden fortilfælde. Angrebet menes at have påvirket 99 lande.

It-sikkerhedsfirmaet Avast oplyser, at de har informationer om 57.000 tilfælde, hvor det er lykkedes virusset at trænge ind på computere. Det skriver Reuters.

De hårdest ramte lande er Rusland, Ukraine, Taiwan og Kina. Både russiske banker, ministerier og jernbaner har fået deres it-systemer inficeret af bagmænd. Også i Tyskland har Deutsche Bahn fået ubudne gæster fra cyberspace.

I Frankrig har bilproducenten Renault bekræftet, at man også her har haft uvelkomment besøg af såkaldt ransomware. Konsekvensen er, at produktionen af biler er sat på pause.

I Storbritannien blev en lang række hospitaler fredag inficeret. Ifølge BBC er 40 hospitaler og klinikker blevet ramt rundt om i landet. Det har betydet aflyste operationer og konsultationer.

Spionudstyr til salg

Det historisk store hackerangreb har tråde tilbage til august sidste år, da en ukendt gruppe, der går under navnet Shadow Brokers, meddelte, at den var i besiddelse af programmeringsværktøjer som Den amerikanske efterretningstjeneste National Security Agency (NSA)-brugte til spionage.

Gruppen truede med at ville sælge

Hovedkvarteret for National Security Agency (NSA) i Maryland. Det var angiveligt efterretningstjenestens stjålne koder, der muliggjorde hackerangrebet. (Foto: LARRY DOWNING © Scanpix)

NSA-udstyret på nettet. Som bevis på, at de rent faktisk var i besiddelse af varerne, fremviste de små skærmbilleder af mapperne med en række programmeringsværktøjer. Deres intentioner blev oplyst i en meddelelse på gebrokken engelsk.

NSA har aldrig bekræftet, at de programmeringsværktøjer, som gruppen solgte, er udviklet af efterretningstjenesten. Tidligere NSA-ansatte har dog overfor Washington Post bekræftet, at det lignede NSA-værktøjer.

Et af de værktøjer, der blev nævnt, var en kode ved navn Eternal Blue. Koden kan udnytte en sårbarhed i it-systemer til at skaffe sig adgang og plante software i Microsoft-styresystemer.

Straf til Trump

14. marts 2017 udsendte Microsoft derfor en opdatering, som lukkede den sårbarhed, som Eternal Blue ville udnytte. Brugere med denne opdatering var sikret mod fredagens angreb.

I april gjorde Shadow Brokers flere af de angiveligt NSA-udviklede værktøjer frit tilgængeligt. Heriblandt koden Eternal Blue.

Gruppen angav ifølge BBC den amerikanske præsident Donald Trumps beslutning om at affyre missiler mod en militærbase i Syrien som årsag.

Om aftenen 12. maj registreredes en række angreb i hele verden. Her brugte ukendte afsendere koden Eternal Blue til at komme ind i Microsoft-systemer, der ikke havde fået hentet opdateringen fra 14. marts.

Farlig orm

Hvis det lykkes at komme ind ved hjælp af Eternal Blue, slippes programmet WannaDecryptor - også kaldt Wannacry - fri på computeren.

Programmet blokerer for adgang til data på computeren og kræver en løsesum for at gøre de pågældende data tilgængelige igen. Den slags programmer kaldes ransomware.

Wannacry er en såkaldt orm. Det betyder, at den selv spreder sig på et internt netværk. Andre brugere på netværket behøver ikke klikke på et link eller hente en fil for at blive smittet.

Ifølge Henrik Larsen, der er chef for it-sikkerhedsorganisationen DKCert, er det angiveligt første gang, at ransomware spredes på den måde.

Kilder: Ritzau, CNN, Washington Post, The Guardian, Reuters og DKCert

FacebookTwitter