Възможно ли е Северна Корея да стои зад хакерската атака WannaCry, описана от Европол като безпрецедентен по мащабите си удар?
Заплахата беше спряна сравнително бързо, но рискът от повторен опит за изнудване чрез пробив на десетки хиляди устройства със зловреден софтуер остава напълно възможен - поне докато не бъде разкрит първоизточникът й.
Две от най-големите компании за онлайн-сигурност - Касперски Лаб и Symantec - твърдят, че разполагат с улики, които насочват към хакери, свързани с режима в Северна Корея - т.нар. Lazarus Group. И все пак доказателствата изглеждат твърде оскъдни. На практика става дума за наличието на малка част от кода на WannaCry, които съвпада с почерка на Lazarus Group.
Същата групировка беше замесена в мащабната хакерска атака срещу Sony Pictures през 2014 г., а две години по-късно организира кражбата на 81 милиона долара от Централната банка в Бангладеш.
Повторението на кода първо е забелязано от разработчика на Google Нийл Мехта. Symantec също успява да идентифицира онази част от кода на WannaCry, която съвпада със софтуера, използван при по-старите хакерски атаки на Lazarus.
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
— Neel Mehta (@neelmehta) May 15, 2017
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution
Наличието на споделен код все още не означава, че авторът е един и същ. Възможно е напълно различна групировка да е използвала умишлено създадения от Lazarus Group модел, за да заложат фалшиви улики към разследващите. Това, което прави впечатление, обаче е, че дублиращият се код е изтрит от по-новите версии на WannaCry. Според експертите на Касперски Лаб - вероятността да става дума за умишлено "нарочване" на Lazarus е твърде малка. Остава обаче възможността някой да е копирал кода, за да си спести част от работата по програмирането на вируса.
От Касперски се обърнаха към разработчиците от цял свят да помогнат при разследването, така че да се стигне по-бързо до източника на атаката. Още през април те публикуваха подробен анализ, който разкрива методите на действие на групировката.
"Това ниво на сложност не е нещо, което се среща често в света на кибер-престъпността. Изисква стриктна организация и контрол на всички нива на действие. Затова смятаме, че Lazarus не е просто поредният агресивен напреднал играч", посочваха от Касперски.
Атаките със злоумишлено криптиране на файлове срещу искане за откуп не са нещо ново - от няколко години те са се превърнали в тенденция при хакването на корпоративни клиенти или държавни служби.
ББС цитира проф. Алан Удуърд, експерт по сигурност, който обръща внимание на факта, че текстът с искане на паричен откуп на различни езици изглеждаше като машинен превод от английски. Китайската версия на съобщението от WannaCry обаче е писана от човек, който го използва като роден език.
WannaCry използва код, който е базиран на кеш от данни, откраднати от Агенцията за национална сигурност на САЩ от групировката Shadow Brokers преди няколко месеца. АНС, както и други служби по цял свят, събират различни уязвимости на операционни системи и друг софтуер, за да разработват инструменти за събиране на разузнавателна информация.
Една от тези уязвимости изтече от данните на Shadow Brokers, което я превърна в достъпна възможност за пробив през Windows за всеки хакер.
Бившият ръководител на британската телекомуникационна разузнавателна агенция Дейвид Оманд публикува отворено писмо, в което обвинява Microsoft за огромния мащаб на пораженията от WannaCry. Основният удар беше насочен срещу устройства, използващи остарялата XP-версия на операционната система, която не се поддържа с ъпдейти вече 3 години - въпреки че хиляди компании и държавни институции по света продължават да я използват.
Още през март Microsoft пусна ъпдейти за всички по-нови версии на Windows, които решават проблема с уязвимостта, използвана от WannaCry. Такъв фикс за XP обаче беше пуснат едва на 14 май - ден след като атаката вече беше поразила десетки хиляди устройства.
Но "Касперски" има общо с ГРУ
Ей, гнусната пропаганда не спира. Северна Корея няма кфо да яде. Северна Корея е замесена в разработването на вирус успял да внесе шок и ужас в маса западни компании. Последно кое от двете е? Да ви вземе дявол и пропагандната машина
deowin, малко е трудна за вярване теорията, че изостанала държава като Северна Корея може да подържа хакери с такива способности. Не става въпрос за пари. Пари бол, както казваш - да издържаш едно "стадо" от програмисти не е голяма философия, че дори разни африкански държави биха си го позволили. Въпроса е технологичното развитие - дори една България, вярно не сме цъфнали и вързали спрямо Германия, но спрямо Корея сме си 6 точки... Та дори ние не можем да направим никакви IT магии, всичкото е cheap manual labooor, аутсорс на low+value addded tasks, и то само защото с 1600€ заплата - колкото на дюнерджия в Германия си подсигуряваш full stack developer в БГ. Та дори нашия развит сектор (развит в сравнение със Северна Корея), не е способен да предложи продукт различен от евтина масовка - малко трудно идва да вярваш, че пещерняците от Северна Корея са го постигнали... Противоречието е ТВЪРДЕ голямо - ако могат да постигнат нещо такова са много далеч от пещерняци, ако пък не могат - защо тях обвиняват? Технологичен прогрес не се постига с хвърляне на няколкостотин долара месечно в кесията на 200-тина жълтури...
deowin, смятам че подценяваш сложността на подобна операция. Не е само разработване, но и разпространение и какво ли още не. Има няколко неща дето трябва да повдигат червени флагчета. Първо, ако е толкова лесно - има сто и една държави, развити много повече от северна корея. От С.Корея има дори фирмички с повече IT ресурс. Само от Балканския полусотров се сещам за 3 държави с значително повече ресурс, където opportunistic assholes не липсват. Второ, откупа от порядъка на $60к, събран от "хакерите". Ясно е, че който е платил $300($600) на групичката - инфомрацията му струва в пъти повече от тази сума. Не е логично, група хакери, ако са правителствени сили и целта им е тотален хаос да се задоволят с 50% годишната заплата на читав програмист. Трето, да обвиним най-изостаналата държава за технологична атака - изглежда все едно в гимназията да се изпърдя с извинение и да обвиня срамежливия затворен задръстеняк..