Varför står Kina för hälften av världens alla datorer infekterade av viruset WannaCry?

Kina. Offentligt säkerhetssystem infekterat av lösensummaviruset Wanna Cry. Weibo foto vi Letscorp

Kina är ett av de landen som drabbats värst av gisslanprogrammet känt som WannaCry som lanserades den 12:e Maj, som infekterat över 230 000 datorer i 99 länder på bara en dag.

Kinas nationella datasäkerhetsnätverkscenter för nödfall bekräftar att vid 14:e är hälften av alla drabbade IP-adresser belägna i Kina. Attackerna har påverkat omkring 30 000 institutioner, inklusive universitet, invandrandringscheckpunkter och bensinstationer.

Ransomware (gisslanprogrammet) som tros utnyttja kryphålet “Eternal Blue”, framtaget av USAs Nationella Säkerhetsbyrå (NSA), anfaller datorer med Microsoft Windows som operativsystem och låser ute användaren från dess egen dator genom att kryptera filer. Programmet kräver motsvarande 300 dollar i valutan Bitcoin i utbyte mot att avkryptera filerna. En dator uppkopplad mot internet på port 445 (en port för delning av dokumentprotokoll) och med Windows som operativsystem var föremål för attacken om den inte hade senaste säkerhetsuppdateringen nedladdad, utgett i Mars 2017.

Gisslanprogrammet stoppades kortvarigt genom upptäckten av en “kill switch”, nödavstängning, av en Brittisk forskare, men den 14:e Maj kom en ny version av viruset.

Kinesiska datoranvändare kan tänkas vara mer sårbara för den här typen av attacker eftersom det är vanligt att man använder olicensierade eller piratkopierade versioner av Windows och därmed inte får säkerhetsuppdateringar.

För att förvärra saken ytterligare var många datoranvändare omedvetna om att en attack kunde ske då väldigt få lokala medier rapporterade om säkerhetsriskerna.

Trots att en majoritet av internetleverantörer i Kina blockerar port 445, som till störst del används av operativsystemets egna fildelning, för att förhindra potentiella attacker riktade mot Microsoft Windows så blockeras inte porten bland många platser inom den offentliga sektorn såsom universitet, säkerhetskontor och bensinstationer.

Universitetsområden är bland de värsta drabbade. Universitet över hela landet, inklusive Qinghua, Beida, Shanghai Jiaotong och Shandongs universitet har alla blivit infekterade. Ett stort antal studentavhandlingar och forskningsprojekt har blivit (och fortsätter vara) krypterade av gisslanprogrammet. Inhemsk meda rapporterar att:

截至到5月13日20点,国内有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招…

“Vid 20:00 den 13:e Maj har hundratusentals datorer från 29 372 institutiones attackerats av gisslanprogrammet. 4341 utbildninginsrelaterade institutioner har fall av infektioner.”

Statliga median Xinhuas rapport citerade Kinas nationella datasäkerhetsnätverkscenter för nödfall med:

截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

“Vid 10:30 den 14:e Maj har Kinas nationella datasäkerhetsnätverkscenter för nödfall upptäckt 2 423 000 IP-adresser som attackerats som resultat av kryphålet i “Eternal Blue”. Antalet IP-adresser infekterade av viruset är mer än 35 000 världen över och inom Kina ungefär 18 000.”

Förutom utbildningsområden har även ett antal  invandrandringscheckpunkter paralyserats eftersom säkerhetssystem infekterats.

Genom social media rapporterade tjänstemän inom säkerhetssektorn i staden Xiangshui i provinsen Jiangsu att immigrationssystemet var under attack och de tvingats stänga checkpunkter för invandrande. Över internet rapporterades att immigrationskontor i staden Shanghai och Pekings Chaoyang även de paralyserats av virusattacken.

Vid midnatt 13:e Maj var ett stort antal system hos oljeproducenten PetroChina utslagna och återställdes inte förrän kl 12 den 14:e Maj.

Ställda inför en ny version av gisslanviruset, “WannaCry2.0″, vilket inte kunde stoppas av samma nödavstängning som tidigare använts, gick Kinas myndigheter ut med en varning över internet, via media och universitet i ett försök att hindra spridningen av viruset.

Än så länge finns få utvärderingar om varför Kina har varit ett av de mest sårbara länderna i virusattacken. Officiella medier föreslår att spridningen av viruset orsakats av att universitetsstudenter använder skolornas nätverk till att spela spel online. Det förklarar dock inte varför offentliga säkerhetssektorn och oljebolag också drabbats.

1 kommentar

Gå med i samtalet

Översättare, var snälla och logga in »

Riktlinjer

  • Alla kommentarer ses över av en moderator. Skicka inte din kommentar mer än en gång, då kan det identifieras som kommentarspam.
  • Behandla andra med respekt. Kommentarer som innehåller hets mot folkgrupp, är stötande eller utgör personattacker kommer inte att godkännas.