Cyberpoliti slår til mod farlig virus: Redder næsten en million computere i storaktion

850.000 computere verden over har tjent penge til ukendte bagmænd.

Ukendte bagmænd, som stadig er på fri fod, har kunnet fjernstyre 850.000 computere inficeret med såkaldt malware. Men fransk politi har nu i samarbejde med it-sikkerhedseksperter ødelagt de kriminelles infrastruktur. (Foto: Ronen Zvulun © Scanpix)

Det lyder som en it-supporters værste mareridt. 850.000 computere med virus på, spredt ud over hele kloden.

Men fransk politi og antivirus-virksomheden Avast har i samarbejde renset de mange computere på én gang - og dermed fjernet en flok ukendte IT-kriminelles indbringende værktøj, skriver Motherboard.

De 850.000 computere var inficeret med en såkaldt orm ved navn Retadup. Ormen spreder sig automatisk fra computer til computer. Det giver bagmændene bag ormen mulighed for at overtage computerens regnekraft og tvinge dem til at tjene kryptovaluta. Har man computere nok, er det en indbringende, men ulovlig forretning.

Men ved at angribe bagmændenes infrastruktur, er det lykkedes politiet og it-sikkerhedseksperter at rense samtlige computere for Retadup.

- Det er ikke alle, det går op for, men 850.000 inficerede computere betyder, at man har massiv slagkraft. Man ville kunne lægge de fleste hjemmesider og institutioner i verden ned, siger chefen for cyber-gendarmerne til radiostationen France Inter, skriver BBC.

Til modangreb

Hidtil har myndigheder og it-sikkerhedseksperter været nødt til at nøjes med at fjerne bagmændenes forbindelse til de mange inficerede computere, så ormen kan blive ved med at spøge på computerne. Men ikke i dette tilfælde.

I den nye sag er franske 'cyber-gendarmer' gået til modangreb på bagmændene og har ødelagt både den infrastruktur, de i årevis har brugt til at styre ormen og samtidig fået den skadelige kode til at selvdestruere. Og det er positivt, at det er lykkedes, siger chefanalytiker ved it-sikkerhedfirmaet FireEye, Jens Monrad.

- Det er positivt generelt, når de her infrastrukturer bliver taget ned. Det er ikke første gang, at myndigheder i samarbejde med private får fjernet eller lukket infrastruktur.

Myndighederne skal være forsigtige

Han maner dog også til besindelse. Det er ikke en ny løsning, som automatisk løser et stort it-sikkerhedsproblem, siger han:

- Det fjerner ikke ansvaret fra private og virksomheder. På trods af at infrastrukturen bliver fjernet og ikke længere er en aktiv trussel, så kan infektionen stadig være på computere, der ikke har været på nettet, da myndighederne ødelagde den.

En orm som Retadup fungerer ved, at den hele tiden forsøger at kommunikere med en slags kommandocentral, som bagmændene har kontrol over. Gennem den kan de instruere ormen i at tjene bitcoins, installere ransomware på de mange inficerede computer ellere sende spammails i tusindevis ud, fra de inficerede computeres mailbokse.

Men de franske internetbetjente og Avast opdagede en fejl i den centrale kommando-computer. Derfor kunne de lave deres eget cyberangreb på den og overtage kontrollen over alle de mange inficerede computere, som blev kommanderet til at slette ormen.

Og derfor er det ifølge Jens Monrad ikke en metode, man skal tage i brug altid.

- Det er risikabelt. Den er heller ikke helt ligetil juridisk, fordi politiet jo sender kommandoer til de her mange tusinde fremmede computere. Man skal være helt sikker på, hvad man laver, når man gør det, så man ikke gør mere skade, end der allerede er sket, siger han.

Nye metoder ændrer ikke verden

I det store billede er den her operation vigtig, men ikke altafgørende, mener Jens Monrad. Det er et stort netværk, som kriminelle kunne bruge til at gøre meget skade, der er fjernet, men bagmændene er stadig på fri fod.

Og det illustrerer ifølge ham den største udfordring ved at bekæmpe denne type kriminalitet:

- Det er en nålestiksoperation, som ikke rammer en global udfordring. Den udfordring er, at vi ikke har et velfungerende globalt samarbejde om at bekæmpe den her kriminalitet, fordi nogle af de lande, hvor it-kriminalitet udspringer fra, ikke vil retsforfølge deres egne borgere, siger han.