Blinkende ASCII-kranium afslører: NotPetya-bagmænd havde ikke Petya-kildekoden
Det er vanskeligt med sikkerhed at sige, hvem der stod bag sidste uges cyberangreb med malwaren NotPetya. Men et kig på, hvordan den er skruet sammen, kan sandsynligvis udelukke i hvert fald én mulig aktør.
Sikkerhedsekspert 'Hasherezade' har analyseret den eksekverbare kode i NotPetya for Malware Bytes og når frem til, at bagmændene formentlig ikke har haft adgang til den originale kildekode til ransomwaren Petya, som den ellers på mange punkter ligner.
Petya-ransomwaren har været kendt i mere end et år, og tilskrives en bagmand, som kaldes 'Janus'. Derfor kunne en nærliggende teori være, at NotPetya var det næste trin i en videreudvikling af denne familie.
En anden teori er, at nogen har taget Petya-ransomwaren og modificeret den, og undersøgelsen af den binære programfil ser ud til at understøtte denne teori.
Der er en række ændringer i forhold til den seneste kendte version af Petya, som er døbt GoldenEye. Mest åbenlyst, så viser Petya og GoldenEye et blinkende rødt kranium, skrevet med ASCII-tegn, på skærmen, når ransomwaren genstarter computeren.
Der ligger en funktion til at vise kraniet i både GoldenEye og NotPetya, men i NotPetya er kaldet til funktionen fjernet.
Det er imidlertid måden, dette kald er fjernet på, som er interessant. Det ser nemlig ud til, at det er sket ved at ændre manuelt i maskinkoden. Det vil sige at rette i den kompilerede kode.
Sammensat af forskellige stumper af malware
En måde at undersøge, om det kunne være tilfældet, er ved at se, om ændringerne viser tegn på at have været gennem en compiler. Compileren oversætter til maskinkode og laver samtidig en række optimeringer. Den fjerner eksempelvis dobbelte referencer, hvis de kan erstattes af en enkelt, og vil også ofte fjerne kode, der ikke bliver brugt.
I maskinkoden til NotPetya kan man ifølge Hasherezade se, at der stadig er en række af de optimeringer, man vil forvente fra compileren, men for nogle af de ting, der er ændret i forhold til originalen, så er der ikke de tilsvarende optimeringer.
Den kode, som bruges til at tegne kraniet, ligger også stadig i koden, men bliver aldrig kaldt. Det er samtidig muligt at ændre maskinkoden tilbage igen, så kraniet igen bliver vist, også i NotPetya.
Alt dette tyder på, at den, der har lavet den malware, som vi kaldet NotPetya, ikke har haft adgang til Petyas kildekode. Samtidig fortæller det os, at dem, der har lavet NotPetya, har haft kompetencerne til at ændre i den compilerede kode.
NotPetya er sammensat af forskellige stumper af malware, heriblandt EternalBlue-exploitet mod Windows og altså en i forvejen kendt ransomware-familie. Det er uvist, hvorfor bagmændene har valgt at modificere lige netop Petya, hvor kildekoden ikke er lækket, i modsætning til en række andre ransomware-familier.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
