朝鲜骇客主导WannaCry事件?分析认为动机或许是为了某个国家的利益
俗话说凡走过必留下痕迹,目前成为全球焦点的 Wannacry 勒索病毒被发现与多次骇客攻击结合,过去也曾经攻击过孟加拉中央银行与韩国银行而闻名,甚至 2014 年的 Sony 被 朝鲜骇客 入侵事件也与这次的事件有相似之处,研究人员更找出关键证据,发现 Wannacry 与 2014 年“名嘴出任务(暗杀金正恩,The Interview)”导致 Sony 被骇事件的关键工具居然有相似同的一段程式码。这也让整起事件与朝鲜骇客拉上关系。
Google 安全研究员 Neel Mehta 发现到 2 月开始的 WCry 样本与 2015 年初的 Cantopee 版本中,有段相同的程式码。该版本乃是 Lazarus Group 这个骇客团体所使用的恶意性的后门软件,这个团队至少在 2011 年开始运作,过去发现的程式码样本已经将该团队的各个事件,像是 2013 年韩国硬盘自灭攻击,歼灭约有 TB 级的 Sony 影像资料。2014 年则透过攻击 SWIFT 网络来偷走孟加拉中央银行近 8,000 万美元的钱:
在周五的数小时内,WCry 使用了美国国家安全局隐匿起来的程式码,攻击了 150 个国家,约 20 万台电脑。软件通常被称作 WannaCry。自动复制的恶意软件加密许多硬盘,直到受害者支付赎金解密。受感染的医院主机很快就透过转移病人和重新改道就会车路线来因应,世界各地的企业与政府机构迅速将电脑与网络断开,因为他们不再运作,或防止其他主机同样受到攻击。至于初期爆发的原因,只是因为一个域名没有被注册起来,导致病毒疯狂流窜之至。
关键对比, 朝鲜骇客 的程式码内有玄机
Mehta 在周一时发 Twitter ,内文将 Lazarus Group 的程式码与 WCry 程式码对比,认为两者间应为相同来源,但 Wcry 作者可能试图欺骗研究者,加入 Cantopee 的程式码,而误以为是 Lazarus Group 在背后操盘。卡巴斯基研究室认为,这样的假装似是可信但不可能尽信。因为后来的变种中 WCry 将 Cantopee 的程式码挪去。因此不是个诱饵:
Lazarus Group 目前已知的资讯太少,在安全公司 Novetta 在二月份的报告中亮相,卡巴斯基目前也在积极研究这个团体,虽然目前资料不多,但 Lazarus Group 目前被发现与朝鲜之间关系密切,因而怀疑朝鲜才是幕后的黑手。2015 年奥巴马政府采取制裁朝鲜的策略,因为美国的情报来源确信朝鲜该为 2014 年 Sony 被骇事件负责。
现阶段多数研究者同意,Lazarus Group 与 Cantopee 之间的共通程式码相当重要:
▲程式码对照,如果字太小看不清楚可以看大图。
FOX-IT 研究员 Maarten van Dantzig 表示:“大家找到了迄今为止发现所有版本的 WannaCrypt 之间的相似之处,并为 Lazarus 使用的工具研究打开了很多可能性。”
Lazarus 与朝鲜的联系,或许能解释研究人员在上星期五的爆发中,观察到的一些不寻常的行为。恶意软件带有编码的机制,允许攻击者关闭自我复制的攻击连结。这种“杀戮开关”对于由经济动机而发起的犯罪集团,所开发的恶意软件来说,是非常不寻常的。相比之下,它们在国家赞助的骇客所写的恶意软件中更为常见。这点更加深了 Lazarus 与某国甚至是朝鲜有密切来往的可能。
Virus Bulletin 的安全研究员 Martijn Grooten 表示,恶意软件作者通常为的是出名跟利益。损益控制不是这类人会做的事,就像恐怖攻击那样,不会突然因为谈判和解就结束攻击。 Lasarus 与朝鲜间的关系显然并不寻常,可能是他们的金主。
朝鲜的崛起可能解释了为什么恶意软件充满了各种不寻常,包括无法触发某个域名导致病毒持续破坏。此外更奇怪的是,WCry 没有自动验证使用者是否付出赎金,如果某个国家是他们的后盾,动机或许就是干扰与焦虑,并让美国国家安全局颜面蒙羞,而不是获得可观金钱。这些都让大家认为朝鲜的嫌疑比其他国家或组织来得大。
标签: 资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条
