Какво общо има WannaCry със Северна Корея?

Възможно ли е Северна Корея да стои зад хакерската атака WannaCry, описана от Европол като безпрецедентен по мащабите си удар?

Заплахата беше спряна сравнително бързо, но рискът от повторен опит за изнудване чрез пробив на десетки хиляди устройства със зловреден софтуер остава напълно възможен - поне докато не бъде разкрит първоизточникът й.

Две от най-големите компании за онлайн-сигурност - Касперски Лаб и Symantec - твърдят, че разполагат с улики, които насочват към хакери, свързани с режима в Северна Корея - т.нар. Lazarus Group. И все пак доказателствата изглеждат твърде оскъдни. На практика става дума за наличието на малка част от кода на WannaCry, които съвпада с почерка на Lazarus Group.

Същата групировка беше замесена в мащабната хакерска атака срещу Sony Pictures през 2014 г., а две години по-късно организира кражбата на 81 милиона долара от Централната банка в Бангладеш.

Повторението на кода първо е забелязано от разработчика на Google Нийл Мехта. Symantec също успява да идентифицира онази част от кода на WannaCry, която съвпада със софтуера, използван при по-старите хакерски атаки на Lazarus.

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution

— Neel Mehta (@neelmehta) May 15, 2017

Наличието на споделен код все още не означава, че авторът е един и същ. Възможно е напълно различна групировка да е използвала умишлено създадения от Lazarus Group модел, за да заложат фалшиви улики към разследващите. Това, което прави впечатление, обаче е, че дублиращият се код е изтрит от по-новите версии на WannaCry. Според експертите на Касперски Лаб - вероятността да става дума за умишлено "нарочване" на Lazarus е твърде малка. Остава обаче възможността някой да е копирал кода, за да си спести част от работата по програмирането на вируса.

От Касперски се обърнаха към разработчиците от цял свят да помогнат при разследването, така че да се стигне по-бързо до източника на атаката. Още през април те публикуваха подробен анализ, който разкрива методите на действие на групировката.

"Това ниво на сложност не е нещо, което се среща често в света на кибер-престъпността. Изисква стриктна организация и контрол на всички нива на действие. Затова смятаме, че Lazarus не е просто поредният агресивен напреднал играч", посочваха от Касперски.

Атаките със злоумишлено криптиране на файлове срещу искане за откуп не са нещо ново - от няколко години те са се превърнали в тенденция при хакването на корпоративни клиенти или държавни служби.

ББС цитира проф. Алан Удуърд, експерт по сигурност, който обръща внимание на факта, че текстът с искане на паричен откуп на различни езици изглеждаше като машинен превод от английски. Китайската версия на съобщението от WannaCry обаче е писана от човек, който го използва като роден език.

WannaCry използва код, който е базиран на кеш от данни, откраднати от Агенцията за национална сигурност на САЩ от групировката Shadow Brokers преди няколко месеца. АНС, както и други служби по цял свят, събират различни уязвимости на операционни системи и друг софтуер, за да разработват инструменти за събиране на разузнавателна информация.

Една от тези уязвимости изтече от данните на Shadow Brokers, което я превърна в достъпна възможност за пробив през Windows за всеки хакер.

Бившият ръководител на британската телекомуникационна разузнавателна агенция Дейвид Оманд публикува отворено писмо, в което обвинява Microsoft за огромния мащаб на пораженията от WannaCry. Основният удар беше насочен срещу устройства, използващи остарялата XP-версия на операционната система, която не се поддържа с ъпдейти вече 3 години - въпреки че хиляди компании и държавни институции по света продължават да я използват.

Още през март Microsoft пусна ъпдейти за всички по-нови версии на Windows, които решават проблема с уязвимостта, използвана от WannaCry. Такъв фикс за XP обаче беше пуснат едва на 14 май - ден след като атаката вече беше поразила десетки хиляди устройства.