Hvis malware utbruddet var state sponsored det kan bli regnet som brudd på suvereniteten og åpne muligheten for mottiltak, sier Tom Minárik
@alexhern
Mandag 3 juli 2017 13.34 BST
Sist endret på mandag 3 juli 2017 13.36 BST
Den NotPetya malware som tørkes datamaskiner i organisasjoner, inkludert Maersk, Merck og den ukrainske regjeringen i juni “kunne telle som en krenkelse av norsk suverenitet”, i henhold til en juridisk forsker ved Natos cybersecurity divisjon.
Hvis malware utbruddet var statsstøttet, Nato-forsker sier, det kunne åpne mulig av “mottiltak”. De kunne komme gjennom retaliatory–cyber-angrep, eller mer konvensjonelle midler som sanksjoner, men de må falle kort av en militær bruk av makt.
Tomáš Minárik, forsker ved organisasjonens Cooperative Cyber Defence Centre of Excellence i Tallinn, Estland, laget kommentarene etter Centre konkluderte med at malware utbrudd, som overveldende rammet Ukraina, men også påvirket mer enn 60 andre land, kan mest sannsynlig tilskrives en statlig aktør.
Mens en cyber-angrep kan utløse en væpnet svar fra Nato, Minárik advarte om at den skade som er forårsaket av NotPetya var ikke tilstrekkelig for en slik opptrapping. Lov av væpnet konflikt, gjelder bare hvis en cyber-angrep fører til skade “med konsekvensene sammenlignes med et væpnet angrep”, under en pågående internasjonal væpnet konflikt, “men så langt er det rapporter om heller,” sa han.
Imidlertid, Minárik, lagt, “som viktige offentlige systemer har blitt rettet, så i tilfelle drift er knyttet til en stat som denne kunne telle som en krenkelse av norsk suverenitet. Følgelig, dette kan være en internasjonalt rettsstridig handling, som kan gi målrettet stater flere alternativer for å svare med mottiltak.”
Et tiltak er enhver stat svar som ville være ulovlig i typiske situasjoner, men kan bli godkjent som en reaksjon på et internasjonalt rettsstridig handling av en annen stat. En “hacke tilbake” – reaksjon, for eksempel, kan være et tiltak, men Nato sier at slike tiltak “trenger ikke nødvendigvis å være utført av cyber betyr”; de kan imidlertid ikke påvirke tredje land, heller ikke kan de beløp til en bruk av makt.
Mistanken om at NotPetya – så kalt fordi malware er overfladisk ligner en tidligere ransomware variant kalt Petya – kan bli arbeidet med en statlig sponset skuespiller oppsto kort tid etter utbruddet begynte i slutten av juni.
Mens malware ser ut til å være ransomware (en type program som har kritiske filer som gisler i bytte mot betaling), og den inneholdt flere feil som gjorde at det aldri blir en effektiv moneymaker for sine skapere. Blant andre ting, betaling infrastruktur var knyttet til en e-postadresse som ligger utenfor deres kontroll, som umiddelbart ble blokkert av e-postleverandøren for å forebygge ofre form noensinne å motta deres dekrypteringsnøkkelen og låse opp filene sine.
Men malware, som var overveldende seeda til å ofre gjennom en kompromittert ukrainske regnskap programmet, gjorde fungere godt som en “vindusvisker”, utformet bare for å gjengi systemer ubrukelig, og føre til økonomisk skade. Det spredte seg raskt inne i virksomheten nettverk, ved hjelp av en kombinasjon av utnytter stjålet fra NSA og mer vanlig svakheter i eldre versjoner av Windows, slik at hele organisasjoner fant seg ikke i stand til å operere for dager på slutten.
I motsetning til WannaCry, en tidligere stykke ransomware også mistenkt for å være arbeidet med stat-sponset angripere (i dette tilfellet eksplisitt knyttet til Nord-Korea ved etterretningsorganisasjoner inkludert NSA og GCHQ), NotPetya ikke inneholde funksjonalitet slik at den til å spre fri over internett, begrense det store flertallet av sine skade til de organisasjoner som er direkte rammet av den kompromitterte regnskap programvare.