Telenor Inpli Logo

NotPetya – det dyreste viruset noensinne

Telenor Inpli den 8. januar 2019

NotPetya – det dyreste viruset noensinne

På forsommeren i 2017 ble store deler av verden rammet og lammet av et ødeleggende datavirus som senere har fått navnet «NotPetya». Viruset spredde seg i løpet av noen timer og forårsaker skade for milliarder av dollar. En stor verdensomfattende sikkerhetshendelse denne bloggposten baseres på.

Ett av de rammede selskapene var den danske logistikkgiganten Maersk, og de fikk virkelig føle på presset som følger ved å rammes av datavirus. Vi har sett nærmere på saken og på hva som kan skje hvis man ikke tar cybersikkerheten på alvor. I følge WIRED var det én enkel programvareinstallasjon som fikk snøballen til å rulle denne dagen.

Men hvordan kunne dette skje?
En ledelsesavgjørelse ble skjebnesvanger forsommeren i 2017:

  • Konflikten mellom Russland og Ukraina, som har krevd titusenvis av menneskeliv på bakken, har også spredd seg til nettet. Særlig én gruppering, Sandworm, har brukt den ukrainske, digitale infrastrukturen som en arena. De installerte en bakdør i M.E.Doc. – det mest populære programmet i Ukraina for regnskapsføring og beregning av skatt.

  • I det danske logistikkselskapet Maersk ble nok ikke datasikkerhet tatt helt på alvor. Oppgradering av sikkerhetsløsninger ble godkjent og budsjettert, men ikke alltid effektuert. Noe ledelsen i selskapet garantert angrer på i dag. Senere har flere pekt på at sikkerhet ikke var innarbeidet i rutiner og retningslinjer på en måte som gjorde det nødvendig å følge opp. Enkelt sagt, ble ingen belønnet for å gjøre noe mer enn nødvendig med datasikkerheten.

  • NSA utviklet et spionprogram, Eternal Blue, som utnyttet en svakhet i Windows. Eternal Blue ble stjålet og lekket.

  • En fransk hacker laget et såkalt «proof of concept» for å underbygge sin teori om at eldre versjoner av Windows lagret passord i internminnet, og at det var mulig å stjele disse ved hjelp av programmet Mimikatz. Han hadde rett.

  • Enden på visa var at Sandworm utviklet et malware, et skadelig program, med både Eternal Blue og Mimikatz bygget inn. De programmerte med utgangspunkt i et eldre ransomware, Petya, og deres egen versjon fikk navnet NotPetya.

 

Maersk rammes hardt

Danske Maersk er blant verdens største innen containershipping – og viser hvor viktig frakt av varer på kryss og tvers av kloden har blitt de siste 20 årene. 800 skip betjener nesten 80 havner over hele verden. Selskapet representerer en femtedel av verdens totale lastekapasitet. Fyller du det største skipet i flåten, et «triple E»-containerskip som heter Maersk Madrid, med bananer, da har du én banen til hvert eneste menneske som bor i Europa.

27.juni i fjor la Sandworm viruset NotPetya inn i M.E.Doc.via en bakdør. Det tok bare minutter før det ble åpenbart at et av de mest aggressive og smittsomme virusene verden noen gang har sett, var sluppet løs. De første organisasjonene som ble infiserte fikk hele IT-plattformen ødelagt på minutter, Maersk var ett av disse. Ikke lenge etterpå var hele verden berørt og innen dagen var omme hadde viruset vandret rundt jorden og endt opp hos det russiske oljeselskapet Rosneft. Angrepet var ute av kontroll.

Sannsynligvis kom NotPetya seg på innsiden av Maersk sine nettverk via en maskin i Odessa hvor M.E.Doc ble installert. Og det tok ikke lang tid før ansatte over hele verden satt og stirret på meldinger som krevde et beløp i bitcoin for å få tilbake tilgangen til maskinen (flere prøvde å betale til ingen nytte), eller opplevde at maskinen tok en omstart og aldri lot seg starte opp igjen. På hovedkontoret i København løp ansatte nedover gangene og ba kollegaer om å koble seg fra nettet før viruset nådde dem, men NotPetya hadde allerede et forsprang som ingen klarte å ta igjen.

Fullstendig kaos da alt forsvant

Havnen i Elisabeth, New Jersey, er en av de største Maersk-terminalene i verden. Hit ankommer hundrevis av trailere hver dag for å losse eller laste, og alle må gjennom hovedporten der de skannes, snakket med en operatør og får en utskrevet seddel som forteller dem hvor de skal parkere. Når bilen har stoppet på angitt plass, henter eller leverer havnekranene containeren som er registrert. Varer som skal videre, samles på samme område, før de løftes om bord i skipet som skal ta dem videre.

Den dagen NotPetya rammet ble det fullstendig kaos. Agentene, et mellomledd som håndterer bestillingene til Maersk, mistet all oversikt over hvilke ordrer som hadde kommet inn, og enda verre, hva som befant seg i de forskjellige containerne. Det var som om du hadde slettet innholdsfortegnelsen i Claes Ohlson-katalogen; du vet at det du ser etter finnes et sted, men du aner ikke hvor. Og det skjedde over hele verden.

Reddet av strømbrudd

De første timene var kaotiske. På hovedkontoret i Danmark fikk de fleste ansatte beskjed om å gå hjem og vente på at IT-løsningen ble bygget opp igjen. Ganske raskt tok Maersks infrastrukturansvarlige grep, sammen med den eksterne partneren i Deloitte. Hundrevis av ansatte ble flydd inn for å hjelpe til, på kommersielle flygninger og med privatflyet som vanligvis var reservert til ledelsen i Maersk. Alt som fantes av nye PC-er i mange mils radius ble kjøpt inn og da nye Windows-installasjoner skulle sendes ut måtte det gjøres på det som kunne oppdrives av minnepinner, fordi over halvparten av Maersk sine lokasjoner hadde for liten båndbredde til å kunne laste ned et operativsystem fra nettet.

Den største utfordringen i arbeidet med å sette sammen forretningskritiske applikasjoner, viste seg å være jobben med å reinstallere PC-er og bygge opp nettverket på nytt. En stor komplikasjon i arbeidet var å finne en kopi av det som fungerer som et kart over nettet, med innebygde lover og regler for roller, tilganger og ruting – den såkalte «domain controller».

For å være sikre på aldri å miste dette kartet, som det finnes en kopi av på alle Maersk sine servere, var de satt opp for å ta backup av hverandre. På den måten ville det alltid finnes en oppdatert versjon hvis en annen ble korrupt, hvis du ser bort fra en situasjon der aller serverne blir satt ut av spill samtidig, slik NotPetya førte til.

Etter timer på telefonen, oppdaget en av IT-teknikerne en server i Ghana som hadde vært slått ut av et strømbrudd og gått klar av hele virusepidemien. Der lå den eneste intakte versjonen av «domain controller» – også den for stor til at det lot seg gjøre å sende den digitalt. Og fordi ingen av de ansatte på kontoret i Ghana hadde visum til Storbritannia, var det umulig for dem å fly den helt frem til Maidenhead.

Løsningen ble en stafett. En ansatt fra Ghana tok «domain controlleren» med seg til Nigeria. Der ble han møtt av en kollega med gyldig visum til Storbritannia som fløy den verdifulle programvaren videre til Maidenhead, der den umiddelbart ble brukt til å gjenopprette nettverksinfrastrukturen.

Mye å lære

Den kritiske perioden for Maersk varte i flere dager. Ansatte kommuniserte med kunder på WhatsApp og Gmail — de fikk etter hvert tilgang på varelistene som avdekket hvilke varer som befant seg hvor – men jakten på forsendelser pågikk i mange måneder etter at systemene hadde begynt å fungere igjen.

IT-ansatte i Maidenhead som bare hadde sovet i noen timer hvert døgn, fikk tatt seg en dusj og hvilt ut, før de fortsatte en opprydding som for mange av dem ikke var over før et halvt år senere. Det ble utbetalt astronomiske erstatninger for å dekke kundenes tap eller utgifter de hadde hatt til andre fraktalternativer.

Det finnes elementer i denne historien som vanskelig lar seg kontrollere. Forholdet mellom Russland og Ukraina er ett av dem. Den enorme skaden små grupper med relativt begrensede budsjetter kan forårsake via nettet, er også noe vi må forholde oss til.

Men med fasiten i hånd, er det også mye å lære av historien om det som fortsatt er det dyreste og mest dramatiske dataangrepet verden har sett. At det lønner seg å oppdatere, både til siste versjon av Windows eller MacOS og med det som finnes av sikkehetspatcher, bør snart være en selvfølge. At sikkerhet er et lederansvar og at det bør få konsekvenser hvis man ikke tar det, er en annen.

NotPetya - Den totale kostnaden

I følge Guidewire Cyence har de økonomiske kostnadene etter NotPetya nådd svimlende 850 millioner dollar. Maersk satt igjen med en regning på over 200 millioner dollar i følge Forbes. Selskapet Lloyd´s of London kalkulerer med at hendelsen vil kunne ende med mye høyere kostnader enn dette. De mener gjennomsnittlig økonomisk tap ved ett skytjeneste-angrep kan ende med kostnader fra 4,6 til 53 milliarder dollar, men kan også bli så høye som 121 milliarder dollar.

Vi ønsker å gjøre det enklere for deg å sikre deg mot cyberkriminalitet

Brukere aksesserer tjenester fra forskjellige enheter, når som helst og fra hvor som helst. Stadig flere forretningskritiske tjenester integreres i nettverket, og kravene til tilgjengelighet på tjenestene øker. Samtidig øker både forekomsten og kompleksiteten til skadevare og datainnbrudd. Presset fra cyberkriminelle bidrar til at vi må tenke nytt om hvordan vi sikrer våre digitale verdier, og IT-sikkerhet må få større fokus. Vi ruster deg for en stadig mer kompleks IT-infrastruktur i et trusselbilde som er i konstant endring.

Denne artikkelen bygger blant annet på et kapittel i Andy Greenberg sin kommende bok, «Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers» som kommer neste år. Du kan lese hele teksten i WIRED.

Du kan også lese Maersk sin egen historie her, «When the screens went black.»

Og hvis du er nysgjerrig på hvordan container shipping fungerer, se denne lille filmen fra Wall Street Journal.

Tags: Sikkerhet

Kontakt oss: Ønsker du å ta en prat med oss?