Vernielzuchtig cyberwapen, mede dankzij de NSA

Gijzelsoftware

Opnieuw worden bedrijven getroffen door kwaadaardige software die deels gebaseerd is op gestolen Amerikaanse cyberwapens van de NSA. Als WannaCry, maar dan extra vernielzuchtig.

Zes weken nadat honderdduizenden computers getroffen werden door het WannaCry-virus, spookt opnieuw een besmettelijke variant rond die veel schade kan veroorzaken: Petya, zo hebben beveiligingsexperts deze variant gedoopt. Ze komen zoals gebruikelijk superlatieven tekort om deze ‘massale, wereldwijde’ dreiging te beschrijven.

De cyberaanval vertoont overeenkomsten met de kwaadaardige Petya-software die in het voorjaar van 2016 al rondwaarde. De belangrijkste eigenschap van die eerste Petya-versie is dat de gijzelsoftware niet alleen bestanden op slot zet: er wordt nóg een slot geplaatst, door de complete harde schijf te blokkeren. Dat maakt de hele computer onbruikbaar en het wordt een stuk moeilijker om op eigen houtje te herstellen van een besmetting, bijvoorbeeld door een back-up terug te plaatsen.

De vernielzucht van de huidige Petya-variant (sommige onderzoekers noemen het, nogal verwarrend, notPetya omdat ze de overeenkomst met de vorige versie niet zo groot vinden) is nu gecombineerd met een andere kwetsbaarheid. Het gaat om hetzelfde Windows-lek, genaamd EternalBlue, dat afgelopen mei de snelle verspreiding van WannaCry aanjoeg. En er komen nog een paar andere handigheidjes bij kijken. Zo blijft een besmette pc nog een uurtje werken voordat de boel op slot gaat. In de tijd gaat Petya stiekem op zoek naar andere systemen in het bedrijfsnetwerk die het zou kunnen besmetten.

Ook worden uit het actieve geheugen van de besmette computer de wachtwoorden gevist waarmee de pc is ingelogd op andere onderdelen van het netwerk. Die informatie kan gebruikt worden om weer andere pc’s te infiltreren. Zelfs al zijn die computers beschermd tegen EternalBlue.

Zoals gebruikelijk bij ransomware wordt het systeem pas vrijgegeven als het slachtoffer 300 dollar aan bitcoins heeft betaald. Toch lijken bij de daders eerder politiek-strategische dan financiële motieven mee te spelen, is de consensus. De besmetting startte in Oekraïne en verspreidde zich via bedrijfsnetwerken van multinationals ook internationaal. Dat was bijkomende schade, zo lijkt het.

Mike McLellan van beveiligingsbedrijf SecureWorks (hij behoort tot de school die ‘NotPetya’ zegt) ziet drie aanwijzingen dat het de aanvallers niet om geld ging – of laks waren: „Het gebruikte bitcoinadres werkt niet goed, de communicatie met de slachtoffers is slecht geregeld en de encryptiesleutel is niet uniek voor elke pc.”

Het is gissen wie dit cyberwapen afvuurde, maar de oorsprong is wel duidelijk. De EternalBlue-code is afkomstig van de NSA. De Amerikaanse geheime dienst verzamelt zulke zero day exploits – niet-gerepareerde gaten in software voor computers en netwerkapparatuur – om te spioneren.

Het zijn middelen om in te breken op netwerken, mensen af te luisteren of te chanteren. NSA-klokkenluider Bill Binney geeft in een nog te publiceren interview met NRC het voorbeeld van Arabische prinsen die door de NSA bespioneerd werden. „Weten dat zij naar porno op het web keken, geeft je macht. Want dat is een ‘no-no’ in hun samenleving.”

Volgens Binney werkt de NSA zichzelf tegen door aan de ene kant gevoelige informatie te beschermen en aan de andere kant beveiligingsgaten te verzamelen als cyberwapens. „Door deze gaten open te houden in plaats van ze te repareren, is de hele wereld kwetsbaar.”

En dat blijkt nu. Cyberwapens voor gerichte aanvallen lekten uit naar het publieke domein. Zo worden het massawapens die door iedereen, criminelen en spionnen, misbruikt worden. Achter de diefstal van de NSA zit hackersgroep Shadow Brokers. Nadat een poging om de softwaregaten te verkopen mislukte, belandde de explosieve inhoud op straat.

De identiteit van Shadow Brokers is onbekend – het zouden Russen, Chinezen of een NSA-klokkenluider kunnen zijn. Woensdag liet Shadow Brokers weer van zich horen, verwijzend naar de Petya-aanval en in het gebruikelijke steenkolenengels (om hun identiteit niet te verklappen via taalgebruik). „Don’t be let company fall victim to next cyber attack, maybe losing big bonus or maybe price on stock options be going down after attack.”

Mike McLellan vermoedt dat Shadow Brokers hun kruit nu verschoten hebben. „De gaten in de NSA-hacks zijn al gedicht.” Maar zolang bedrijven zich niets aantrekken van evidente gevaren als WannaCry of Petya, zullen er toch slachtoffers vallen door de oude cyberwapens van de NSA.