Da den verdensomspennende utpressingsvaren NotPetya rammet kontorene til Mærsk verden over i fjor sommer, utløste det scener tatt rett ut av en actionfilm. Medarbeidere løp nedover gangene og ropte at kollegene skulle skru av datamaskinene sine, mens IT-medarbeidere sparket inn dørene til konferanserommene midt under møter og rev ut ledningene til deltakernes pc-er.
Dette skriver Wired-journalisten Andy Greenberg, som har brukt et år på å intervjue interne kilder i Mærsk og andre nøkkelpersoner knyttet til NotPetya-angrepet mot selskapet. Han skal bruke dette i en kommende bok om bakmennene, en russisk hackergruppe han kaller for Sandworm.
Les også: Mærsk tapte opptil 2,5 milliarder kroner på dataangrep
Var klar over svakhetene
Historien er gripende lesning, men den mest inkriminerende delen av historien er at Mærsk var klar over alvorlige sikkerhetsfeil i konsernet i forkant av angrepet, og at en planlagt oppgradering av sikkerheten ble skrinlagt av apatiske sjefer.
– Fornyelsen av sikkerheten ble godkjent og budsjettert, men dens suksess ble aldri gjort til en såkalt «key perfermance indicator» blant Mærsks øverste IT-ledere, slik at det å implementere den ikke ville bidra til ledernes bonuser. De gikk aldri videre med sikkerhetsoppgraderingen, skriver Greenberg.
Ifølge kildene hans, kjørte flere av serverne fortsatt Windows 2000, og interne redegjørelser utpeker manglende nettverkssegmentering som et stort sikkerhetsproblem. Et segmentert nettverk kunne ha begrenset, men neppe stanset, spredningen av NotPetya.
Mimikatz og EternalBlue
Utpressingsvaren spredte seg som en skogbrann på grunn av det lekkede NSA-hackerverktøyet EternalBlue – som gjorde det mulig å kjøre vilkårlig kode på Windows-maskiner – og sikkerhetsverktøyet Mimikatz, som blant annet skanner minnet til datamaskinene for passord. Det kan automatiseres til å prøve å få tilgang til andre datamaskiner i nettverket, også datamaskiner som var immune mot EternalBlue.
Greenberg skriver at det bare tok 45 sekunder for NotPetya å ta livet av nettverket til en større, ukrainsk bank, og utpressingsvaren hadde en fest i Mærsks globale nettverk. Infeksjonen startet da en finanssjef i Mærsks avdeling i den ukrainske havnebyen Odessa bad IT-avdelingen om å installere skattesystemet M.E.Doc på én enkelt datamaskin.
Han kunne dog umulig vite at oppdateringsserverne hos Linkos Group, selskapet som står bak M.E.Doc, var blitt hacket av Sandworm-gruppen og dermed ga gruppen en bakdør inn i alle datamaskinene som brukte skattesystemet. Det var via disse oppdateringsserverne at NotPetya møtte verden for første gang.
Rettet mot ukrainsk infrastruktur
Angrepet var tilsynelatende ment å desimere ukrainsk IT-infrastruktur. Dette skal være et vedvarende prosjekt for Sandworm-gruppen, som ifølge Wired også har stått bak hackerangrepene på elverk, noe som har mørklagt Ukraina flere ganger.
Fire sykehus bare i Kiev ble rammet, sammen med seks strømleverandører, to flyplasser og minst 22 ukrainske banker. Dette skal ha fått infrastrukturministeren, Volodymyr Omelyan, til å erklære at «regjeringen var død», da utpressingsvaren var kodet til aldri å kunne dekryptere offerets filer, selv om man betalte løsepengene.
17 av Mærsks 76 daværende havneterminaler globalt endte med å bli lagt fullstendig døde. Fra Los Angeles til Mumbai kunne ikke havneportene åpnes, kraner stod stille og ti-tusener av lastebiler ble bedt om å snu mens Mærsk-ansatte i havnene febrilsk forsøkte å omdirigere fraktruter og å finne lagerbygninger for oppbevaring av frakten, samtidig som at alle telefoner og interne IT-systemer var ute av drift.
Havnearbeiderne til Mærsk satte i gang med å sette papirsedler på skipene, kommunisere med kunder via WhatsApp og å oppbevare kundedata i Excel.
Les også: «Virus-utbrudd» skapte kaos på sykehus
Sov under bordene
Mærsk opprettet krisestab i Maidenhead, London, hvor den globale IT-delen av konglomeratet hadde hovedkvarter. To etasjer av kontorbygningen ble satt av til nødarbeidet, og medarbeiderne sov i dagevis under bordene og i konferanserommene, da alle hoteller og enkeltværelser innen flere kilometers avstand var fullbooket.
Bare Deloitte alene, som var hyret for å kontroll over problemet, hadde 200 av sine egne ansatte på kontoret, mens Mærsk samlet omtrent 400 medarbeidere fra hele verden.
Tidlig oppdaget Mærsk til sin forferdelse at de ikke kunne kontakte en eneste domenekontroller, serverne som har oversikt og regler for hele den omfattende infrastrukturen til selskapet. Det var ingen reserveløsning, siden de rundt 150 serverne var konfigurert for å ta kopi av hverandres data. Men det var ikke blitt tatt høyde for et scenario hvor alle serverne ville stryke med samtidig.
Ghana ble redningen
Etter paniske teleoppringninger verden rundt, fant Mærsk én eneste domenekontroller som hadde overlevd, i Ghana. Serveren hadde overlevd på grunn av et tilfeldig strømbrudd, noe som hadde ført til at serveren hadde stoppet før skadevaren hadde nådd fram til den.
På grunn av den svake båndbredden i Ghana kunne Mærsk ikke bare laste ned innholdet på serveren. Da ingen av de vestafrikanske ansatte hadde britisk visum, kunne de heller ikke ta med seg en kopi av serveren til Storbritannia.
I stedet innledet Mærsk et stafettløp med en ekstern harddisk, hvor en ghanesisk medarbeider leverte disken til en nigeriansk medarbeider, som til slutt fløy til England med det som skulle være nøkkelen til hele gjenopprettingsprosessen hos Mærsk.
Sikkerhetekspert advarer: – Vi har bare sett begynnelsen (Digi ekstra)
Utholdenhet
Fem måneder etter hendelsen fortalte styremedlemmet Jim Hagemann Snabe om hvordan Mærsk måtte gjenopprette hele selskapets globale IT-infrastruktur, og at dette kun ble vellykket på grunn av medarbeidernes utholdenhet. Siden da har IT-medarbeiderne fått gjennomført stort sett alle de IT-sikkerhetstiltak de har bedt om, skriver Wired.
Alle kildene på sikkerhetssiden som har blitt intervjuet av Wired, forteller at de er overbeviste om at et lignende angrep lar seg gjøre i dag, og at det potensielt kan bli enda større. Globale virksomheter er tett knyttet sammen, samtidig som at IT-sikkerheten er altfor kompleks og angrepsflatende altfor store til at man kan helgardere seg mot statsfinansierte hackere, som vil utgi en verdensomveltende skadevare.
Les mer: Greide å reinstallere selskapets 49 000 datamaskiner på 10 dager etter NotPetya-angrep
Artikkelen er levert av version2.dk.