Overblik: Fra NSA's våbenkammer til globalt cyberangreb
Det er muligvis et NSA-værktøj, der har muliggjort det cyberangreb, der fredag aften ramte mindst 99 lande.
Fredag aften dansk tid gik et globalt cyberangreb i gang. Målet var at tage virksomheder og borgeres data på computere som gidsel for at kræve en løsesum.
Lørdag formiddag er der intet, der tyder på, at det er lykkes at tage data fra danske computere som gidsel.
Ifølge eksperter, som BBC har talt med, tyder alt på, at virussen, som går ind og blokerer for de pågældende data, udnytter et værktøj udviklet af den amerikanske efterretningstjeneste NSA.
Her kan du følge vejen fra det amerikanske cybervåbenkammer til verdens computere:
- NSA er en amerikansk efterretningstjeneste under justitsministeriet. Lederen af NSA er automatisk også leder af US Cyber Command.
- I august 2016 meddelte en ukendt gruppe, der går under navnet Shadow Brokers, at den var i besiddelse af NSA-værktøjer brugt til spionage, som den ville sælge på nettet. Som bevis blev små bidder vist frem ved skærmbilleder af mapperne med værktøjerne.
- Shadow Brokers oplyser dette i en meddelelse på gebrokken engelsk. Meddelelsen indeholdt en liste af værktøjer, hvoraf nogle var nævnt af NSA-afhopperen Edward Snowden.
- NSA har aldrig bekræftet, at de værktøjer, som gruppen sælger, er udviklet af efterretningstjenesten. Tidligere NSA-ansatte har dog overfor Washington Post bekræftet, at det ligner NSA-værktøjer.
- Et af de værktøjer, der nævnes, er en kode ved navn Eternal Blue. Koden udnytter en sårbarhed til at skaffe sig adgang og plante software i Microsoft-systemer.
- 14. marts 2017 udsender Microsoft derfor en opdatering, som lukker den sårbarhed, som Eternal Blue udnytter. Brugere med denne opdatering er sikret mod fredagens angreb.
- I april gør Shadow Brokers flere af de angiveligt NSA-udviklede værktøjer frit tilgængeligt. Heriblandt koden Eternal Blue.
- Gruppen angiver ifølge BBC den amerikanske præsident Donald Trumps beslutning om at affyre missiler mod en militærbase i Syrien som årsag.
- Om aftenen 12. maj registreres en række angreb i hele verden. Her bruger ukendte afsendere koden Eternal Blue til at komme ind i Microsoft-systemer, der ikke har fået hentet opdateringen fra 14. marts.
- Hvis det lykkes at komme ind ved hjælp af Eternal Blue, slippes programmet WannaDecryptor fri på computeren.
- Programmet blokerer for adgang til data på computeren og kræver en løsesum for at gøre de pågældende data tilgængelige igen. Den slags programmer kaldes ransomware.
- WannaDecryptor - også kaldet WannaCry - er en såkaldt orm. Det betyder, at den selv spreder sig på et internt netværk. Andre brugere på netværket behøver ikke klikke på et link eller hente en fil for at blive smittet.
- Det er angiveligt første gang, at ransomware spredes på den måde.
Kilder: CNN, Washington Post, The Guardian, Reuters