首页 移动互联

新线索发现:勒索病毒幕后黑手可能来自朝鲜

凤凰科技讯 据《福布斯》北京时间5月16日官网报道,世界各地的政府和安全专家都开始调查谁是“想哭”勒索软件大规模爆发背后的推手,现在,出现了一个线索他们发现,幕后推手或来自朝鲜。以下为报道的详细内容。

难道勒索软件背后是朝鲜?

线索在于代码。谷歌安全研究员梅赫塔(Neel Mehta)发布了一条神秘的推文,提到了两款恶意软件的样本:一个是WannaCry(“想哭”勒索软件),另一个样本,是一个名为拉撒路集团(Lazarus Group)的黑客团伙的创作,后者与2014年对索尼的灾难性攻击相关联,并且还攻击了SWIFT 银行系统导致孟加拉国的一家银行遭受网络盗窃,盗窃金额达到了创纪录的8100万美元。根据许多安全公司的以前的分析,拉撒路集团也属于朝鲜。

在梅赫塔发推之后,卡巴斯基实验室检测了代码,安全软件开发商Proofpoint安全研究员达里恩·哈斯(Darien Huss)和安全公司Comae Technologies的创始人、安全专家马特·苏彻也进行了代码监测。所有人一直在积极调查和,捍卫网络安全,对抗WannaCry,并都发现了勒索软件与朝鲜之间可能的关联。

所有人都相信,梅赫塔的发现可以为找出WannaCry的可能创造者提供线索,这款勒索软件导致英国医院停止工作,并导致日产和雷诺汽车工厂也出现了问题。但是,他们也都注意到,代码中的信息可能也只是一个虚假的标志,黑客有意地将其提供在代码中,引导大家找错方向。

什么代码被复制了?

梅赫塔和研究人员在这款勒索软件中发现,一大块WannaCry的代码100%与Contopee的代码相同,而Contopee是拉撒路集团使用的恶意软件。WannaCry从2017年2月出现,而Contopee是从2015年2月开始。在两个恶意软件样本中,黑客都使用了明显相同的代码,用于随机代码生成;勒索软件会生成0到75之间的随机数,并将其用于数据编码,对恶意软件的操作进行混淆,以躲过安全工具的检测。

卡巴斯基实验室基于复制的代码表示,这是“目前为止,WannaCry起源最重要的线索”。 卡巴斯基实验室全球研究和分析团队主管Costin Raiu告诉《福布斯》,梅赫塔正在调查的恶意软件似乎与英国BAE系统公司的发现一样,即将孟加拉国银行失窃与拉撒路集团联系起来。“当然,目前还需要更多的研究,但是梅赫塔可能会发现关于WannaCry有启示作用的发现。”Raiu补充道。

苏彻对此表示同意:“关于拉撒路集团的叙述,是对的...这个集团以攻击如银行这类金融机构而臭名远播,他们以勒索软件的方式,借助口令货币窃取资金的事实,将被视为同样的勒索手法。”

让这条线索特别引人注意的是,代码似乎是独一无二的,只与拉撒路集团有联系,与其他任何方面,都没有关系。一位要求匿名的研究人员表示,在可以访问的大型病毒库中,将代码与恶意软件进行比较,却几乎没有匹配的已知恶意软件。他说,使用WannaCry的黑客,很有可能只是从拉撒路集团所使用的工具中借用了非常有限的一部分,没有其他恶意软件的代码,这使得两者相关联的可能性更大。

近几年跟踪拉撒路集团的安全巨头赛门铁克表示,它也发现了一些有趣的线索。其研究人员发现,WannaCry的早期版本在4月份和5月初并未广泛流传,但是在人们得知勒索软件使用了拉撒路集团的工具后不久,勒索软件的早期版本就在系统中发现了。“但是,我们还不能确认,是否是拉撒路集团的工具在这些系统上部署了WannaCry。”该公司有所保留地说道,WannaCry还使用了“拉撒路集团的工具一直以来特有的”Web加密形式。

赛门铁克技术总监塔库尔(Vikram Thakur)表示,自星期五以来,他的团队一直在调查勒索软件与主要网络组织可能的联系。他还注意到了WannaCry背后一些稍显奇怪的举动,特别是黑客使用共享的比特币钱包来兑现。如果将这些信息包含在恶意软件的代码中,一旦有人决定取出钱包里的钱,追踪这些钱的去向将会十分容易。这让塔库尔怀疑:攻击者只是力图造成全球损害而不是赚钱?从对索尼的攻击和在韩国的破坏性入侵,勒索软件的归属指向了拉撒路集团,该集团的确有可能参与了这款勒索软件的大规模爆发,进而引起了在英国医院出现病人生命堪忧的情况。

盖棺定论,为时尚早

但是,对于上述一切,都还是要保持怀疑。安全专家表示,现在就下定论,还为时尚早。这些信息可能本身就是用来误导研究人员和执法机构的。

代码中,出现相似之处,并不意味着勒索软件就是由同一个黑客拥有。正如哈斯所指出的那样,拉撒路集团就是以基于开源代码制作工具而出名。他补充说:“我的主要担忧是,这些重叠的代码可能本身就是窃取而来的。我们应该谨慎,因为这是一个真正的可能性,即,这只是两个不同的组织复制的代码,恰好重叠而已。”

黑客也会经常借用别人的代码。事实上,也可能是一个黑客集团发现了拉撒路集团的工具,并重新使用了这些工具。或者,正如塔库尔指出的那样,可能有二千个恶意软件样本在一些地下论坛上被秘密分享,而犯罪分子则正在共享工具。在几乎没有线索的情况下,WannaCry的受害者共支付了价值6万美元的比特币,尚未追溯到任何犯罪者,至少目前是这样。

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多