Virusangreb kan stamme fra Nordkorea

Eksperter har fundet tegn på, at weekendens Wannacry-computervirus kan være produceret af nordkoreanske hackere, der tidligere har lagt bl.a. Sony Pictures ned. Men det er langtfra sikkert.

IT-eksperter har fundet spor i Wannacry-virussen, som kan tyde på, at en nordkoreansk hackergruppe står bag - men det er langtfra sikkert. Arkivfoto: Ritchie B. Tongo, EPA/Scanpix Fold sammen
Læs mere
Foto: RITCHIE B. TONGO

Weekendens store virusangreb kan have forbindelse til Nordkorea.

En sikkerhedsekspert hos Google, Neel Mehta, har nemlig i selve programkoden til computervirussen Wannacry fundet ligheder med den programkode, som den berygtede Lazarus-gruppe tidligere har arbejdet med, skriver britiske BBC. Lazarus-gruppen, som arbejder fra Kina men menes at gøre det på vegne af det nordkoreanske styre, stod bag det meget omtalte hackerangreb mod filmselskabet Sony Pictures i 2014, hvor en række film, der endnu ikke havde haft premiere, blev stjålet sammen med massevis af interne dokumenter.

Stort detektivarbejde venter

En anden sikkerhedsekspert, Alan Woodward, bemærker, at tidsstemplerne i den oprindelige Wannacry-virus var sat til UTC +9, altså Kinas tidszone, ligesom den tekst, som virussen præsenterer på skærmen, når den har krypteret - eller kodet - alle den ramte computers vigtigste filer, ser ud til at være maskinoversat til engelsk, hvorimod den kinesiske udgave virker, som om den er oversat af en indfødt.

Alle eksperter understreger dog, at det kræver meget mere arbejde, før det med sikkerhed kan fastslåes, hvem der står bag Wannacry-virussen. Fordi den hverken så ud til at gå efter bestemte geografiske områder af verden eller bestemte brancher, lød teorien mandag, at der var tale om mindre avancerede hackere, der blot havde fået fingrene i noget, som de kunne bruge til at skabe ravage med.

Sporene af Lazarus kan simpelt hen stamme fra, at hackerne har kopieret koden fra tidligere Lazarus-angreb. Det er heller altid med vished blevet slået fast, at det var nordkoreanske hackere, der angreb Sony Pictures. Angrebet kom forud for premieren på en satirefilm om et mord på den nordkoreanske diktator.

Kina var blandt de værst ramte lande, da Wannacry-virussen blev sluppet løs, og også Rusland blev hårdt ramt.

NSA fortalte intet til Microsoft

Meldingerne går på, at omkring 200.000 PCer verden over er blevet ramt af virussen.

Wannacry-virussen udnytter et sikkerhedshul i Microsofts styresystem Windows til fil- og printerdeling. Dette hul opdagede den omstridte, amerikanske efterretningstjeneste NSA og byggede det ind i sit digitale »våbenlager« uden at fortælle Microsoft om det. Imidlertid blev NSA selv hacket og en række NSA-programmer stjålet og siden lagt ud på Internet. Her er de nu blevet udnyttet til at skabe Wannacry-virussen.

Den er af typen løsesumsvira, fordi den målrettet går efter vigtige filer som dokumenter, billeder, film og musik. Når de er fundet, bliver de én for én krypteret med en kode, og til sidst dukker et skærmbillede op med beskeden om, at hvis man ønsker at se sine filer igen, skal man med den digitale møntfod bitcoin, som er meget svær at spore, indbetale, hvad der svarer til 2.000 kroner for at få den kode, som skal tastes ind, for at man kan låse filerne op igen og dermed få dem tilbage.

Alle eksperter fraråder, at man betaler. Til gengæld er der typisk ingen anden udvej end at finde en forhåbentlig ikke så gammel sikkerhedskopi og indlæse den, så man kun har mistet få dages arbejde. Enkelte løsesumsvira er det dog lykkedes at bryde koden til. De publiceres på netstedet www.nomoreransom.org.