Han berättar historien om tidernas värsta cyberattack

2019-12-30 06:00  

NotPetya slog ut företag världen över. Attacken beräknas ha orsakat skador för uppemot 10 miljarder dollar. Men vilka låg egentligen bakom? I sin nya bok Sandworm har teknikjournalisten Andy Greenberg försökt identifiera hackarna, och hittat spår som leder hela vägen till Kreml.

På eftermiddagen den 27 juni 2017 utbryter kaos på det globala rederiets Maersks huvudkontor i Köpenhamn. Dator efter dator slocknar, och när de bootar upp igen lyser ett varningsmeddelande på skärmen: "ojdå, dina filer har blivit krypterade".

Förtvivlade supporttekniker springer genom lokalerna för att fysiskt stänga av eller koppla datorer ifrån nätverket innan det är för sent.

Samtidigt stänger hamnen i Göteborg. TNT Express kan inte längre lämna ut paket.

Tillverkningen tar stopp hos läkemedelsjätten Merck & Co.

I attackens epicentrum, Ukraina, drabbas tv-kanaler, kollektivtrafiken och flera banker. Allt står stilla.

Cyberattacken NotPetya kan enligt den amerikanska regeringen ha orsakat skador för uppemot 10 miljarder dollar. Men den är ingen enskild incident, utan kulmen på en våg av statligt understödda cyberattacker från Ryssland. En kampanj som av allt att döma fortfarande pågår.

Någon som har följt de här attackerna noga är journalisten Andy Greenberg på tekniktidningen Wired. När Ny Teknik träffar honom är han i Stockholm för att föreläsa på it-säkerhetsmässan CS3Sthlm om de ryska attackerna.

– Artiklar som handlar om cyberkrig brukar alltid innehålla samma frågor: När kommer en sådan attack att drabba oss? Hur kommer den att se ut? Men vi har redan sett det, det har redan hänt här. Ibland känns det som att jag vill ta folk i kragen, ruska om dem och skrika det i ansiktet på dem, säger Andy Greenberg.

Läs mer: ”Ville jag störa ut Sverige skulle jag välja att attackera elnätet”

De senaste åren har han följt hackarna bakom NotPetya. Det har resulterat i flera långa artiklar i Wired och nu i boken Sandworm: A new era of cyberwar and the hunt for the Kremlin's most dangerous hackers.

Namnet Sandworm har några av de it-säkerhetsexperter som utrett hackarnas intrång kommit på efter att de hittat referenser till Frank Herberts klassiska science fiction-roman Dune i hackersgruppens programkod. En ”sandworm” är ett kolossalt larvliknande monster som ständigt lurar under ökenlandskapet på planeten Arrakis. Ett hot som när som helst kan komma från ingenstans och sluka dig hel.

De scifi-frälsta hackarna har varit verksamma i minst tio år, men blev världskända först efter en ödesdiger decemberdag 2015.

Hackar elnätet i Ukraina

Där och då, klockan halv fyra på eftermiddagen dagen innan julafton, trodde nog många att det var ett vanligt strömavbrott. Runt 30 ställverk i provinsen Ivano-Frankvisk i västra Ukraina slutade plötsligt att fungera. 230 000 människor blev strömlösa i upp till sex timmar. Samtidigt inträffade mindre strömavbrott längre norrut kring huvudstaden Kiev och västerut i regionen Tjernivtsi.

Inne i kontrollrummen där elnätet övervakades insåg personalen däremot direkt att något ovanligt hände. En av ingenjörerna plockade upp sin mobiltelefon och började filma när en av datorerna som styrde systemet fick eget liv. Muspekaren rörde sig, men personalen kunde inte göra något.

Förtvivlade fick de se på när en okänd hackare fjärrstyrde datorn och manuellt stängde ställverken. Ett efter ett.

I boken Sandworm får vi följa händelserna inifrån kontrollrummet, och via ukrainare som påverkats.

– Min bok handlar i stora drag om att berätta om de här händelserna från ett mänskligt perspektiv. Målet har varit att återberätta hur offren och utredarna upplevde attackerna, säger Andy Greenberg som under sina resor till Ukraina har träffat flera av ingenjörerna som såg attacken inträffa den där dagen i december 2015.

Andy Greenberg snubblade över händelsen när han fick i uppdrag att skriva en artikel om cyberkrig efter avslöjandena om de ryska påverkanskampanjerna och hackerangreppen under den amerikanska valrörelsen 2016.

Läs mer: David Jacoby: ”Man kan säga att det är jag som är Lisbeth Salander”

– När jag började prata med folk i Ukraina förstod jag att det här var en del av en större och ihållande kampanj av attacker. Först hackades valet i Ukraina 2014, två år innan det amerikanska valet utsattes för samma sak. Det kändes som ett intressant exempel på hur Ukraina fick agera kanariefågeln i kolgruvan, säger Andy Greenberg.

– Dessutom var det en del av ett äkta cyberkrig, hur du än definierar det ordet. Det ackompanjerades av ett fysiskt krig [den ryska invasionen i östra Ukraina, reds.anm.] och det innehöll statliga attacker mot både statliga och civila mål.

Attackerna sprider sig västerut

Efter elnätsattackerna avslöjade också it-säkerhetsmyndigheten US-CERT att samma trojaner som använts i Ukraina hade planterats hos amerikanska elnätsföretag. Upptäckterna gjordes i tid, men gav ändå en skrämmande föraning.

– Det fanns en tydlig analogi mellan vad som hände i Ukraina och sedan i USA. Det verkade vara testkörningar av attacker som kunde ske i andra länder, säger Andy Greenberg.

Artikeln om attackerna mot Ukraina publicerades våren 2017. I den gjorde han en förutsägelse: de ryska cyberattackerna mot Ukraina skulle snart komma att drabba resten av världen. Bara några dagar senare inträffade cyberattacken NotPetya.

– Du vill verkligen inte att det du förutspår ska slå in så snabbt, konstaterar Andy Greenberg lakoniskt.

De första dagarna efter attacken visste ingen vem som låg bakom NotPetya. Viruset maskerade sig som ett så kallat ransomware, eller utpressningsvirus, en trojan som krypterar filer på datorn och sen begär en lösensumma för att låsa upp dem. Det är en vanlig metod bland kriminella hackare som tjäna pengar, men med NotPetya fanns aldrig någon intention att låsa upp filer igen. Attacken var till för att förstöra. Orsaka kaos.

Läs mer: Här är 6 av världens säkraste smarta mobiler

Andy Greenberg jämför attacken med ett slags terrordåd, och kallar den ett slags gigantisk påverkansoperation mot den ukrainska befolkningen.

– Det handlade om att ge en känsla av otrygghet, av att landet hade misslyckats med att skydda sin egen befolkning. Det var därför de släckte elnätet. Det var därför de sänkte medias och myndigheters hemsidor, menar han.

Snillrik attack via bokföringsprogram

Viruset spreds via ett ukrainskt företag som tillverkar bokföringsprogram. Sandworm-hackarna hade tagit sig in i it-företagets system, och kunde sprida NotPetya genom att skicka ut det som en del av en uppdatering till bokföringsprogrammet. Trojanen hade i sin tur en inbyggd funktion för att sprida sig vidare i företagens nätverk och på så vis infektera fler och fler datorer.

Eftersom många internationella bolag som har verksamhet i Ukraina också använde bokföringsprogrammet kunde viruset sprida sig världen över. Blixtsnabbt.

Världen vaknade upp till den största cyberattacken någonsin. Orsakad av en statlig aktör. Många verkade yrvakna. Men för de som hade studerat elnätsattackerna i Ukraina ett par år tidigare var det ingen överraskning.

Läs mer: Så kan ett pyttelitet chip användas för att hacka sig in hos storföretagen

I Andy Greenbergs bok vittnar flera säkerhetsexperter om hur de hade varnat för att något skulle hända om ingen satte ned foten och sa ifrån när Ryssland provade cybervapen mot den ukrainska befolkningen. Själv jämför han historien med boken och sedermera filmen The Big Short, som handlar om det fåtal ekonomer som såg de tidiga tecknen på finanskrisen 2008.

– Historien är nästan som i The Big Short. En liten grupp människor pratade om att något var på väg att hända, och de försökte varna alla andra innan det var försent. Sedan inträffade den här episka katastrofen som kom att påverka hela världen, säger han.

Du låter frustrerad när du pratar om det, och dina intervjupersoner i boken låter också frustrerade över att ingen lyssnade i tid?

– Jag försökte fånga historier från folk som Rob M Lee [grundaren av it-säkerhetsföretaget Dragos som tidigt varnade för Sandworm, reds.anm.] och andra som hade pekade ut vad som skedde i Ukraina och som bad den amerikanska regeringen att säga ifrån. Men ingen sa ifrån. Inte förrän det bet oss i svansen.

NotPetya ledde till sist till amerikanska sanktioner mot Ryssland. Kort därefter väcktes åtal mot tolv ryska medborgare för inblandning i hackerangreppen under den amerikanska valrörelsen, där Sandworm tros ha varit delaktig tillsammans med andra ryska grupper.

– Men USA straffade dem egentligen bara för det som hade hänt i USA. Det är inte den röda linje jag skulle vilja se. Inget land ska använda cyberattacker för att attackera civila genom att släcka belysning, attackera kritisk infrastruktur och tvinga sjukhus att stänga, säger Andy Greenberg.

Läs mer: Guide: Så surfar du säkert på internet

NotPetya har utnämnts vara den mest förödande cyberattacken genom tiderna. Men Sandworm-hackarna har inte lagt tangentborden på hyllan.

Sandworm hackar OS

Gruppen har fortsatt att utföra attacker, både i Ukraina och i resten av världen. Det mest flagranta exemplet var att en attack som inträffade mitt under invigningsceremonin till vinter-OS i Nord- och Sydkorea 2018.

Sandworm ska ha infiltrerat ett datacenter som användes av de sydkoreanska arrangörerna, och började stänga ned servrar just som mästerskapen skulle invigas. Attacken tros ha varit en hämnd för de restriktioner som den Internationell olympiska kommittén, IOK, införde mot ryska idrottare efter att en rapport hade avslöjat ett systematiskt, statsstött dopningsprogram.

Cyberattacken har kommit att kallas för Olympic Destroyer, och den gav i slutänden några viktiga ledtrådar om vilka som egentligen gömmer sig bakom Sandworm.

It-säkerhetsföretaget Fireeye analyserade de hackerverktyg som hade använts i attacken och kunde hitta ledtrådar om gruppens identitet. De pekar mot en avdelning vid den militära ryska underrättelsetjänsten GRU.

Enhet 74455, närmare bestämt. Där ingår också den hackergrupp som i media brukar kallas för Fancy Bear, och har pekats ut som ansvarig för såväl dataintrånget hos Demokraterna i USA under valrörelsen 2016 som hos Riksidrottsförbundet här i Sverige.

Läs mer: Över 7 miljoner kunde få sin röstbrevlåda avlyssnad

– De håller till i en byggnad som kallas för Tornet, i de norra utkanterna av Moskva, berättar Andy Greenberg.

Den sista delen i hans arbete med boken var att åka till Moskva för att med egna ögon se hackarna han följt i flera år. Han beskriver det som ett slags personligt avslut.

– Jag vågade inte be om en intervju när jag var vid tornet. Jag gick bara dit, tittade på det och tog en bild. Det kändes som en hopplös gest, men jag ville se det. Utifrån går det inte att se att GRU håller till där, och jag kunde inte bara knacka på och be att få träffa Enhet 74455. Kanske borde jag ha gjort det, men jag har en känsla av att det skulle ha slutat med att de ställde frågor till mig och inte tvärtom, säger han.

Vad hade varit ett bra slut för dig då?

– En redaktör sa att i slutet av boken ska jag sparka in en dörr och hitta hackarna på andra sidan, påkomna med fingrarna på tangentborden. Jag antar att det hade varit ett tillfredsställande slut.

– Eller om USA faktiskt skulle säga ifrån och peka ut GRU som skyldiga för attackerna mot Ukraina, för NotPetya och för Olympic Destroyer. Åtala hackarna och trycka deras ansikten på affischer för efterlysta. Det skulle åtminstone vara en bekräftelse på att de tog saken på allvar. Fast inte ens då hade väl någon rättvisa skipats, det enda som hade hänt skulle vara att hackarna inte kunde åka på semester till väst längre.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt