Blogginlägg

Idag vaknade jag upp till ett meddelande i Adamants Messenger-inbox. Det var någon som på lite kantig svenska skrev att han köpa en av mina produkter. Det kändes ju ganska uppenbart att någon försökte lura mig. Särskilt eftersom jag inte har några fysiska produkter till salu. Personen i fråga hade bifogat en RAR-fil som han menade att innehöll en bild på det han ville köpa av mig. (RAR är ett komprimeringsformat liknande ZIP, som gör att man kan paketera och krympa filer för att enklare lagra eller skicka dem.)

Men om det här meddelandet hade kommit till rätt person... Om jag hade produkter, och om jag tänkte att "vad kan det skada att titta på en bild?". Förstås var jag ju nyfiken och bestämde mig för att göra en liten analys av vad han hade skickat.

Jag rekommenderar INTE att man börjar analysera sådana här skadliga filer om man inte vet exakt vad man gör, och du får ursäkta om fortsättningen blir lite teknisk och att jag förenklar grovt emellanåt.

Först kollade jag Facebook-profilen och den var skapad dagen före och innehöll inte någon mer information än namnet och profilbilden. Jag laddade ner filen och konstaterade att Windows Defender inte märkte av att det var något skumt med den. Jag laddade också upp den till VirusTotal. Det är en bra sida där man kan kolla om filer eller hemsidor eventuellt har skadligt innehåll. VirusTotal kontrollerar med en massa antivirus- och anti-malwareprogram om de ger utslag på en fil eller hemsida.

VirusTotal hittade dock ingenting avvikande. Det betyder inte att VirusTotal skulle vara dåligt. Jag kontrollerade när den skadliga filen i RAR-arkivet var skapad, och den var daterad en dryg vecka tillbaka, så det är inte förvånande att inga antivirusprogram reagerade på filen ännu.

Det jag gjorde till näst var att föra över filen till en så kallad sandbox. Det är en virtuell dator, enkelt förklarat en dator som bara är mjukvara och som lånar resurser. t.ex. processorkraft och minne från ens fysyska dator. I sandbox-datorn man kan analysera och eventuellt köra skadliga filer utan att riskera att ens egen dator blir utsatt. Då man är klar så raderar man bara sandbox-datorn.

I sandboxen öppnade jag filen i en hex editor, ett program för att kunna se bättre hur programmet är uppbyggt. Där kunde jag se att då den skadliga filen kördes så laddade den ner en ny fil, från en server, som den bytte namn på och körde igång.

Den filen satte i sin tur igång en kedja av filnedladdningar. Den laddade ner skript, vilka delvis var obfuskerade, alltså att de var medvetet försvårade att läsa, både för människor och datorer, så att chansen är större att det passerar antivirus och liknande. I det här fallet var de Base64-kodade. Filen laddade ner och installerade Python, en kodtolk för att kunna köra program skrivna just i programmeringsspråket Python. Ett skript kördes för att stjäla användarinformation och cookies som eventuellt kan användas för att logga in på olika sajter. Ett sådant program kallas ofta infostealer. Slutligen laddades ner och installerades två crypto miners, som använder datorns processorkraft för att utvinna kryptovalutor på Internet. Det kan hända att fler program eller skript kördes, men jag gjorde inte en fullständig analys.

Så kontentan av det hela är att filen gick förbi Windows Defender på min dator, gav inga utslag på VirusTotal, och verkade alltså helt säker. (Jag testade också att ladda ner de filer som den ursprungliga filen länkade till och testade några av dem på VirusTotal, men inte heller där blev det någon reaktion.) Filerna testades alltså mot åtminstone 60 olika antivirus och antimalware-program och inget av dem gav utslag.

Skulle jag ha dubbelklickat på filen, som hackern på andra sidan meddelandet hoppades på, så skulle jag ha fått massor av inloggningsinformation till hundratals sajter stulen, plus att min dator även skulle ha använts till att utvinna kryptovalutor åt hackern. Det är också konstaterat att majoriteten av ransomware-attacker föregås av att en infostealer fått fäste i systemet. Något så enkelt som ett felaktigt dubbelklick kan vara början till ett mycket svårt nederlag som det är svårt att återhämta sig ifrån.

SektorCERT, ett danskt cybersäkerhetscenter, släppte i förra veckan en rapport om en cyberattack som drabbade 22 danska företag inom energisektorn i maj i år. Attacken misstänks ha utförts av APT(Advanced Persistant Threat)-gruppen Sandworm, som har kopplingar till den ryska militära underrättelsetjänsten GRU.

Attacken utfördes genom att utnyttja en svaghet i de Zyxel-brandväggar som företagen hade. Information om vilka företag som hade dessa brandväggar fanns inte på nätet, så informationen måste ha kommit från någon som redan var på insidan. En patch som åtgärdade felet hade funnits ute ett par veckor men av en rad olika orsaker hade företagen inte följt SektorCERTs råd att installera patchen. Vissa trodde att deras brandvägg var så ny att den redan hade den senaste mjukvaran, andra trodde att det var leverantören som var ansvarig att uppdatera brandväggarna. Någon hade medvetet skippat patchen eftersom det kostar tid och pengar att någon ska uppdatera hårdvaran och någon visste inte ens om att de hade en Zyxel-brandvägg i sitt nätverk.

Hotaktören lyckades ta över kontrollen av brandväggarna och använde senare också en del av dem till att göra överbelastningsattacker mot servrar i andra länder. SektorCERT fick jobba för högtryck och det tog runt två veckor innan situationen var under full kontroll.

Analysen i rapporten avslutas med orden "Och det enda som räddade infrastrukturen i det här fallet var att SektorCERT, i samarbete med medlemmar och leverantörer, förmådde reagera snabbt så att angriparna kunde stoppas innan deras åtkomst kunde användas för att skada den kritiska infrastrukturen."

Hela rapporten går att läsa (på engelska) här.

Disclaimer: Den här texten innehåller en del tyckande, subjektivitet, potentiell okunskap, en karta som inte är helt exakt, och de som trivs bäst med att sitta under sin korkek och lukta på blommorna oavsett var som händer ikring dem kanske även skulle kalla det alarmism.

Att migrera sin IT-infrastruktur till molnet blir mer och mer populärt. Det finns säkerligen flera åländska företag som flyttat delar, eller kanske nästan alla sina system till molnet. Men är det en bra idé? Eller mer specifikt, är det en bra idé för just åländska företag?

Det finns både för- och nackdelar med att använda molntjänster i stället för att hålla sin infrastruktur lokal.

Efter händelsen med Balticconnector har jag, som säkert många andra, börjat fundera på om det skulle kunna hända nära Åland och vad det skulle innebära. Jag sökte lite på Internet och från vad jag kan se så finns det i dagsläget tre datakablar som ansluter Åland till Sverige och Finland. (Trots att man kanske föreställer sig moln i luften så går vägen dit från Åland under vattnet.) Om kartorna stämmer så går kablarna till vitt skilda ställen på andra sidan, men alla verkar i stort sett ansluta till samma punkt på Åland.

Newnew Polarbear, det Hong Kong-flaggade fartyg som misstänks för att ha skadat gasledningen och datakablarna, har lämnat Sankt Petersburg och går i skrivandes stund 11,1 knop ostsydost i Väst-Sibiriska Havet som om inget hade hänt. Men tänker man sig nu ett fartyg, med liknande hastighet på en passlig kurs genom Ålands hav, som dessutom ”råkar” släpa ankaret längs botten (ett missöde som "drabbat" många kinesiska fartyg på senare år nära undervattenskablar kring Taiwan), så skulle skeppet hinna dra av alla tre kablarna på bra mycket kortare tid än under händelsen med Balticconnector.

Detta är ju bara spekulationer, men frågan kvarstår; vad händer med åländska företag som förlitar sig på moln-infrastruktur om dataförbindelserna som förenar oss med Sverige och Finland skadas svårt eller bryts? Det är klart att vi alla skulle påverkas, men de företag som har sin kärn-infrastruktur lokalt kunde i alla fall fortsätta arbeta och fungera till viss del och möjligtvis anpassa sig, men de som flyttat verksamhetskritiska system till molnet skulle stå helt stilla på obestämd tid.

Av förekommen anledning föredrar jag att lyfta fram säkerhetsaspekten i det hela. Vi kan alltid debattera om sannolikheten att Ålands datakommunikation skulle skadas så svårt, men jag håller fast vid det faktum att det skulle kunna ske, och snabbt dessutom, utan förvarning. Jag skulle personligen inte känna mig trygg med att som Ålandsbaserad företagare ha verksamhetskritisk infrastruktur i molnet.

Och här kommer då delen där jag till sist får slå lite på egen trumma; av samma anledning som jag inte skulle vilja ha min infrastruktur på andra sidan sjön så skulle jag inte heller vilja ha min cybersäkerhetsleverantör där. Om dataförbindelserna till Åland skulle saboteras så kommer det säkerligen att finnas hotaktörer som är mer motiverade och kapabla att angripa åländska datanätverk än vad cybersäkerhetsleverantörer utanför Åland har möjlighet att försvara dem. Som tur är så finns det åtminstone en cybersäkerhetsleverantör på Åland som står i beredskap att hjälpa ifall kletet träffar fläkten.