mandag 27. august 2012

Saudi Aramco angrepet av hackere

De siste dagene har flere internasjonale medier meldt om et angrep fra ukjente hackere som har gått løs på  it-infrastrukturen i verdens største oljeselskap, Saudi Aramco. Angrepet skal ha startet 15. august og slått ut 30 000 av oljeselskapets 50 000 PCer. I følge Saudi Aramco er dette problemet nå i ferd med å bli ryddet opp i, men i hvert fall en av selskapets nettsider www.aramco.com er fortsatt nede med en feilmelding (mens www.saudiaramco.com tidvis virker).

Det er et par ting ved dette angrepet som er litt spesielle, og for den som er blir rammet spesielt ubehagelige. Vanligvis når "hacktivister" angriper en virksomhet gjør de det gjennom et såkalt distributed denial of service (DDoS)-angrep, et angrep som bombarderer et nettsted med så mye innkommende trafikk at nettsidene kollapser, men uten å stjele eller ødelegge filer. Angrepet på Saudi Aramco er av en helt annen type, der man bruker såkalt "malware", programvare som har til hensikt å gjøre alvorlig skade på data og datasystemer hos offeret. New York Times teknologiblogg skriver:

"The Saudi Aramco attack would be the first significant use of malware in a so-called hacktivist attack, in which hackers target a company for activist reasons rather than for profit. In the past, hacktivists have used application or distributed denial of service — DDoS — attacks in which they clog a Web site with traffic until it falls offline."

Flere nettsteder som skriver om it-sikkerhet og virustrusler har pekt ut en trojaner som heter Shamoon som syndebukken. Dette er et virus som først stjeler dataene dine og sender dem til en maskin kontrollert av hackerne og deretter overskriver oppstartsfilene på harddisken slik at PCen ikke virker lenger. Stygg sak med andre ord. Når man multipliserer effekten med 30 000 PCer kan man jo tenke seg kaoset det måtte ryddes opp i.

Tidligere i år tok et virus som heter Flame seg inn i noen kraftverk i Iran og prøvde å stenge dem ned. Shamoon er ikke det samme viruset som Flame, men har noen fellestrekk som gjør at eksperter mener at det handler om en "copycat" som vil kopiere dette angrepet, men med at annet offer. En teori som er blitt lansert er at det må være Iran selv som står bak angrepet på Saudi Arabia, etter at de har førsøkt å rekonstruere den skadelige programvaren de selv ble rammet av. Andre mener at Shamoon ikke kan være laget av en stat fordi programvaren inneholder noen såpass amatørmessige feil at det er mer sannsynlig at at det er laget av noen ungdommer på gutterommet.

Uansett hvem som står bak angrepet i Saudi Arabia er det en viktig påminnelse om hvor avhengige alle lands samfunnskritiske virksomheter og prosesser er av ikt. Og hvor sårbare vi er når vi mangler verktøyene vi trenger for å beskytte oss mot angrep. I den forbindelse er det også greit å minne om at datakriminalitet og informasjonssikkerhet er hovedtema på Sikkerhetskonferansen 2012 i regi av Næringslivets Sikkerhetsråd. Dit kommer det flere innledere som vi gi sin vurdering av trusselsituasjonen i ulike bransjer. Og så vil ferske tall fra den norske Mørketallsundersøkelsen bli presentert, tall som helt sikkert viser at det ikke bare er i utlandet man er utsatt for skadelige angrep.