It-sikkerhedsvirksomhed: Statslige ip-adresser i WannaCry-data

CSIS har fundet to statslige ip-adresser i data fra WannaCry-angrebet.

Den danske it-sikkerhedsvirksomhed CSIS er stødt på to ip-adresser hos en organisation under den danske stat i forbindelse med en analyse af data fra WannaCry-hackerangrebet.

Det er dog ikke nødvendigvis det samme som, at statslige systemer er blevet inficerede i forbindelse med hackerangrebet, der har krypteret data på computersystemer verden over de seneste dage. Mere om det længere nede.

»Hvis man kigger på de to ip-adresser, som rapporterer tilbage, så afslører det i hvert fald, at det er noget, som tilhører staten,« siger Peter Kruse, partner i CSIS.

Han fortæller, at ip-adresserne ligger tæt op ad hinanden talmæssigt, og at et whois-lookup på ip-adresserne returnerer navnet på den samme statslige organisation. Peter Kruse ønsker dog ikke at oplyse navnet på organisationen.

De to ip-adresser har CSIS fundet ved at analysere danske ip-adresser fra et datasæt, der stammer fra en person kendt som MalwareTech. Det er kaldenavnet for den it-sikkerhedsforsker, der i første omgang registrerede et internetdomæne, som fik malwaren til at stoppe sin hærgen.

Domæne-funktionaliteten har ageret kill switch. Det fungerer kort fortalt på den måde, at hvis malwaren kalder op til domænet, og domænet er registreret og returnerer et svar, så kører ransomware-delen ikke. Så da MalwareTech identificerede og registrere domænet lagde det en dæmper på malwaren.

Nok ikke 402 inficerede computere

De ip-adresser, som Peter Kruse og CSIS har kigget i, stammer fra forespørgsler op mod kill-switch-domænet, som den danske virksomhed har modtaget fra MalwareTech.

Ud af disse data har CSIS foreløbigt identificeret 402 danske ip-adresser. Det er dog ikke det samme som, at der med sikkerhed er 402 computere i Danmark, som er ramt af WannaCry.

Peter Kruse påpeger, at der bag de enkelte ip-adresser som følge af NAT-teknologi kan gemme sig adskillige computere. Så det reelle antal inficerede enheder i Danmark kan være langt større end 402.

Derudover så er en dansk ip-adresse i datasættet ikke ensbetydende med, at der har kørt ransomware i det bagvedliggende system. Hvis malwaren er eksekveret efter MalwareTech, registrerede domænet - det skete i sidste uge - så vil ransomware-delen af malwaren i udgangspunktet ikke køre.

Ifølge Peter Kruse kan der dog være situationer, hvor svaret fra kill-switch-domænet glipper, så ransomwaren kører alligevel.

»Der kan være forskellige omstændigheder, der gør, at den alligevel kan køre. Der er nogle særlige dele af koden, som gør, at den kan risikere ikke at få det rigtige svar tilbage.«

Ikke alene er de 402 danske ip-adresser, som CSIS foreløbigt har gravet frem, ikke ensbetydende med ransomware på de bagvedliggende systemer, det er slet ikke sikkert, systemerne overhovedet er blevet inficerede med malware.

Kan stamme fra et menneske

Godt nok er det i udgangspunktet inficering af WannaCry-malwaren, der resulterer i, at en computer forsøger at kontakte kill-switch-domænet, men trafikken kan også stamme fra et menneske.

Eksempelvis kunne det være en nysgerrig bruger, der har læst om domænet i nyhedsdækningen og klikker sig ind på det. Trafikken kan også stamme fra en it-sikkerhedsforsker, der er ved at undersøge malwaren i et sikret sandbox-miljø.

Peter Kruse medgiver, at der er en fejlmargen forbundet med data af den type, som stammer fra forespørgslerne til kill-switch-domænet.

Og i den forbindelse kan Peter Kruse heller ikke udelukke, at en del af de 402 danske ip-adresser, CSIS har identificeret i forbindelse med WannaCry-angrebet, ikke nødvendigvis er resultatet af et succesfuldt malware-angreb.

»Det kan være forespørgsler, der kommer fra research, og det kan være forespørgsler, der kommer fra sandboxes,« siger han.

Version2 har været i kontakt med Center for Cybersikkerhed (CFCS) i forhold til de to ip-adresser under staten, som CSIS er stødt på i WannaCry-dataene. CFCS har ikke umiddelbart nogen kommentarer desangående.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Johnny Rose Larsen

Jeg synes det virker mærkeligt at åbne for SMB fra internettet. Det må være fyringsgrund for en SYSOP. Og i givet fald kan det kun ramme en maskine bag en router/firewall pr. IP adresse. Men er Malwaren først inde kan det selvfølgelig ramme flere maskiner på lokalnetværket. Men ville man ikke benytte VPN i stedet? Er der noget jeg har overset ??

  • 1
  • 0
Flemming Riis

»Der kan være forskellige omstændigheder, der gør, at den alligevel kan køre. Der er nogle særlige dele af koden, som gør, at den kan risikere ikke at få det rigtige svar tilbage.«

Så skriv dog at den ikke virker med proxy og i airgapped hvor man så kan lave sin egen dns record og http respond , hvis noget denne ransomware har lært er det at åbenhed hjælper , istedet for gemme informationer

  • 0
  • 0
Jan Olesen

Nu har mange virksomheder jo automatisk sandboxing af email attachments og url's.
Faktisk er der også nyhedsbreve med it leverandøre der har indeholdt url'en som baggrunds info og dermed trigget DNS opslag.

Det er nok et fåtal af DNS opslagene der stammer fra reelle infektioner af wannacry v1.

  • 1
  • 0
Peter Kruse

Hvis du har et system, som laver sandbox funktionalitet ved at besøge URLs, så er der andre problemer i dit sikkerhedssetup. Hint: At usaniterede ondsindede links ikke blokeres og flere andre issues.

Dertil kommer, at browser agent strengen er statisk. Det betyder, at hvis et menneske besøger domænet, kan det nemt filtreres fra. Det fjerner dem, som absolut vil afmonteret et saniteret (ondsindet) domæne, og besøge det ...

/Peter

  • 0
  • 0
Jan Juul Mortensen

Jeg synes det virker mærkeligt at åbne for SMB fra internettet. Det må være fyringsgrund for en SYSOP. Og i givet fald kan det kun ramme en maskine bag en router/firewall pr. IP adresse. Men er Malwaren først inde kan det selvfølgelig ramme flere maskiner på lokalnetværket. Men ville man ikke benytte VPN i stedet? Er der noget jeg har overset ??

Dit netværk er beskyttet af NAT og port SMB er ikke åben ind, men så tager en person en bærbar PC med sig på vej i toget og etablere en opkobling til internettet via en USB 4G nøgle, computeren er sårbar og vupti er den infiltreret med WannaCry ormen, denne PC kobles igen på dit netværk og WannaCry spreder sig efterfølgende til de øvrige sårbare computere på dit netværk...

  • 0
  • 0
Palle Due Larsen
  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize