上周五在全球肆虐的勒索蠕蟲WannaCry,在短短的一個周末就造成全球150個國家、20萬臺電腦淪陷,然而到底是誰有本事發動這樣大規模的網路攻擊,讓全球陷入大亂呢?資安專家最近從程式碼的蛛絲馬跡發現,WannaCry的攻擊者與惡名昭彰的Lazarus駭客集團有很大的關聯,而Lazarus亦與北韓政府關係匪淺。
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution— Neel Mehta (@neelmehta) May 15, 2017
新證據是由Google研究員Neel Mehta率先公布,他在個人Twitter帳號公布了兩段字串,但沒做任何說明。隨後卡巴斯基實驗室研究總監Costin Raiu與Comae創辦人Matt Suiche證實,這兩段字串分別取自2017年2月份早期的WannaCry勒索蠕蟲程式,以及2015年2月份的Contopee後門程式的片段,這兩段程式碼幾乎相同,而經調查Contopee後門程式為Lazarus駭客集團所為。
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matthieu Suiche (@msuiche) May 15, 2017
然而根據程式碼類似就能判定WannaCry的幕後藏鏡人是Lazarus嗎?說不定是有心人士複製Contopee的程式碼片段,以嫁禍給Lazarus。卡巴斯基實驗室指出,確實有這種可能,然而比對目前流行的5月份的WannaCry程式碼,卻沒發現這段從2月份版本發現的程式碼,可合理推測攻擊者在2月開始測試攻擊程式時仍使用Contopee舊的程式碼,而在5月真正發動攻擊時才刪掉與Contopee相關的程式碼,由此行徑可高度懷疑WannaCry與Lazarus有相當的關係,若非是Lazarus駭客集團發動攻擊,就是有辦法取得Lazarus程式碼的組織。
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR
— Costin Raiu (@craiu) May 15, 2017
Lazarus是近年來惡名昭彰的駭客集團。2014年的新力索尼影視被駭事件,以及日前沸沸揚揚的印度孟加拉銀行被利用SWIFT轉帳機制盜領8千多萬美元,經過許多資安研究員的調查,皆認為Lazarus是背後的攻擊者。
卡巴斯基實驗室表示,在調查孟加拉銀行盜領案時,一開始也沒有什麼證據指向攻擊者是Lazarus,然而隨著許多資安研究員發掘出更多訊息,證據一步步指向Lazarus。目前雖然尚無法定論WannaCry的幕後攻擊者就是Lazarus,但隨著全球的資安研究員找出更多蛛絲馬跡,應該能夠找出全球都迫切想知道的答案。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15