NotPetya: Mærsk skrinlagde opgradering af sikkerhed - det var ikke bonusgrundlag

Planer om sikkerhedstiltag, der kunne begrænse NotPetya-ransomwaren, der kostede Mærsk mindst 1,9 milliarder kroner, blev skrinlagt bl.a. på grund af manglende bonusser til chefer.

Da den verdensomspændende NotPetya-ransomware ramte Mærsks kontorer verden over sidste sommer, udløste det scener lige ud af en actionfilm. Medarbejdere løb ned ad gangene og råbte, at kollegaerne skulle slukke computere, mens it-medarbejdere sparkede dørene ind til konferencelokaler og hev ledninger ud af maskiner midt i møder.

Det skriver Wired-journalisten Andy Greenberg, som har brugt et år på at interviewe interne kilder i Mærsk og andre nøglepersoner i NotPetya-angrebet til sin kommende bog om bagmændene, en russisk hackergruppe, han kalder Sandworm.

Historien er intens læsning, men den mest inkriminerende del af historien lyder, at Mærsk var klar over alvorlige it-sikkerhedsfejl i konglomeratet inden angrebet, men at en planlagt opgradering af sikkerheden blev skrinlagt af apatiske chefer.

»Fornyelsen af sikkerheden blev godkendt og budgetteret, men dens succes blev aldrig gjort til en key performance indicator (KPI) for Mærsks øverste it-chefer, så implementeringen af opgraderingen ville ikke udløse bonusser. De bevægede sig aldrig videre med sikkerhedsopgraderingen,« skriver Greenberg.

Flere servere kørte ifølge hans kilder stadig Windows 2000, og interne redegørelser udpegede manglende netværkssegmentering som et stort sikkerhedsproblem. Et segmenteret netværk kunne netop have begrænset, men næppe standset, spredningen af NotPetya.

Målrettet ukrainsk infrastruktur

Ransomware-varianten spredtes som en steppebrand på grund af det lækkede NSA-hackerværktøj NotPetya, der gjorde det muligt at køre arbitrær kode på Windows-maskiner, samt det gratis sikkerhedsværktøj Mimikatz, der bl.a. scanner hukommelse for passwords og kan automatiseres til automatisk at prøve at få adgang til andre computere på netværket, med hvad den finder.

Greenberg skriver, at det blot tog 45 sekunder for NotPetya at dræbe netværket i en større ukrainsk bank, og ransomwaren havde en fest på Mærsks globale netværk. Infektionen startede, da en finanschef i Mærsks afdeling i den ukrainske havneby Odessa bad it-afdelingen installere skattesystemet M.E.Doc på en enkelt computer.

Han kunne dog umuligt vide, at opdateringsserverne hos Linkos Group, udviklerne af M.E.Doc, var blevet hacket af Sandworm-gruppen og dermed gav dem en bagdør ind i alle computere, som brugte skattesystemet. Og det var fra disse opdateringsservere, NotPetya mødte verden for første gang.

Angrebet var tilsyneladende sat i værk for at decimere ukrainsk it-infrastruktur. Et vedvarende projekt for Sandworm-gruppen, der også står bag hacking-angrebene på elværker, der ifølge Wired har mørkelagt Ukraine flere gange.

Fire hospitaler alene i Kiev blev ramt sammen med seks strømudbydere, to lufthavne og mindst 22 ukrainske banker. Det fik infrastrukturministeren til at erklære »regeringen død«, eftersom ransomwaren var kodet til aldrig at kunne dekryptere offerets filer, uanset om man betalte løsesummen.

17 ud af Mærsks dengang 76 havneterminaler i hele verden endte med at være fuldstændigt døde. Fra Los Angeles til Mumbai kunne havneportene ikke åbne, kraner stod stille, og titusindvis af lastbiler blev bedt om at vende om, mens Mærsks ansatte i havnene febrilsk forsøgte at omdirigere fragtruter og finde varehuse til opbevaring af fragt, mens alle telefoner og interne it-systemer var ude af drift.

Mærsks havnearbejdere tyede til at sætte papirsedler på skibene, kommunikere med kunder via WhatsApp og opbevare kundedata i Excel.

Sov under bordene

Mærsk oprettede et emergency center i Maidenhead, London, hvor den globale it-arm af konglomeratet havde hovedkvarter. To etager af kontorbygningen var blevet reserveret til nødarbejdet, og medarbejder sov i dagevis under bordene og i konferencerummene, da alle hoteller og enkeltværelser inden for flere kilometers afstand var fuldt booket.

Bare Deloitte alene, der var hyret til at få fod på problemet, havde 200 af sine egne ansatte på kontoret, mens Mærsk samlede omkring 400 medarbejdere fra hele verden.

Tidligt opdagede Mærsk til sin forfærdelse, at de ikke kunne kontakte en eneste domain controller - serverne, som havde overblik og regler for hele Mærsks omfattende infrastruktur. Der var ingen backup, da de omkring 150 servere var indstillet til at have backups af hinandens data, men der var ikke taget højde for et scenarie, hvor alle servere simultant ville opgive livet.

Efter paniske telefonopkald verden rundt fandt Mærsk én eneste overlevende domain controller: i Ghana. Serveren havde overlevet på grund af et tilfældigt strømsvigt, der havde slukket den, før infektionen nåede frem.

På grund af den dårlige båndbredde i landet kunne Mærsk dog ikke downloade serverens indhold. Da ingen af de vestafrikanske ansatte havde britisk visum og kunne flyve over med en kopi af serveren, indledte Mærsk et stafetløb med en ekstern harddisk, hvor en ghanesisk medarbejder overgav disken til en nigeriansk medarbejder, som endelig fløj mod England med nøglen til hele gendannelsesprocessen i Mærsk.

I eftermælet af angribet fortalte bestyrelsesmedlemmet Jim Hagemann Snabe om, hvordan de måtte genopbygge hele deres globale it-infrastruktur, og at det kun lykkedes på grund af medarbejdernes udholdenhed. Siden da har it-medarbejderne fået stort set samtlige it-sikkerhedstiltag, som de har bedt om, skriver Wired.

Alle sikkerhedskilder interviewet af Wired fortæller, at de er overbevist om, at et lignende angreb kan lade sig gøre i dag og potentielt blive endnu større. Globale virksomheder er tæt forbundne, it-sikkerheden alt for kompleks, og angrebsfladerne alt for store til at kunne helgardere sig mod statsfinansierede hackere, der vil udgive en verdensomvæltende virus.