r   e   k   l   a   m   a
r   e   k   l   a   m   a

WannaCry pod fałszywą flagą? Trop póki co wiedzie do Korei Północnej

Strona główna AktualnościBEZPIECZEŃSTWO

Od ransomware WannaCry płakać się chciało ludziom w większości krajów Starego Świata – jak do tej pory ocenia się, że ofiarami wykorzystującego opracowane przez NSA exploity padło ponad 200 tysięcy komputerów. Straty szacuje się już na setki milionów dolarów. A kto na tym wszystkim zyskał? Na pewno producenci oprogramowania antywirusowego, których giełdowa wartość w ciągu raptem jednego dnia wzrosła o wiele miliardów. Tylko Symantec „urósł” o 750 mln dolarów. Trzeba byłoby jednak być paranoikiem, by podejrzewać producentów oprogramowania o maczanie palców w tym bezprecedensowym ataku. Kto jednak w takim razie za tym wszystkim stoi? Ślady wydają się prowadzić do… Korei Północnej.

Dowody na powiązania WannaCry z reżimem w Pjongjangu pierwszy przedstawił Neel Mehta, badacz z Google’a. Na Twitterze opublikował sekwencje liczb szesnastkowych, wskazujące na dwie próbki kodu. Pierwsza z nich dotyczy próbki mechanizmu szyfrującego WannaCry z lutego 2017 (jakiejś wczesnej wersji), druga zaś z furtki Cantopee wykorzystywanej w malware grupy Lazarus, którą odkryto w lutym 2015 roku.

Grupie Lazarus przypisuje się odpowiedzialność za naprawdę poważne cyberataki. W 2013 roku to Lazarus miał być odpowiedzialny za skasowanie zawartości dysków linuksowych i uniksowych serwerów w sieciach południowokoreańskich firm, w 2014 roku grupa ta zaatakowała windowsową sieć Sony Pictures, niszcząc zawartość dysków po uprzednim wykradnięciu setek gigabajtów poufnych danych, a w 2016 roku wykradła 81 mln dolarów z banku centralnego Bangladeszu. To jednak tylko najbardziej znane operacje, łącznie od 2011 roku Lazarus miał odpowiadać za setki ataków, być może też na polskie instytucje finansowe.

r   e   k   l   a   m   a

Z dużej chmury mały deszcz?

Tegoroczny atak WannaCry, który dotknął co najmniej 200 tysięcy komputerów w 150 krajach, póki co nie przyniósł jakichś wielkich korzyści finansowych. Oczekiwane 300 dolarów w bitcoinach za odszyfrowanie jak do tej pory zaowocowało około 230 transakcjami na łącznie nieco ponad 38 bitcoinów – po obecnym kursie będzie to ponad 60 tys. dolarów. Oczywiście już niebawem kwoty za odszyfrowanie zaczną rosnąć do 600 dolarów, zapewne wiele osób w końcu zdecyduje się zapłacić, ale na pewno z atakiem na sieć bankową Bangladeszu to się równać nie może.

Płatności okupu dla operatorów WannaCry możecie śledzić na bieżąco dzięki monitorującemu je botowi na Twitterze.

Co właściwie wiemy o grupie Lazarus? Właściwie to niewiele. Kaspersky Lab wskazuje na jej powiązania z Koreą Północną, mające wynikać m.in. z wykorzystywania w niektórych atakach adresów IP należących do niewielkiej przecież puli adresowej tego enigmatycznego państwa. Podobne wnioski wyciągnęli badacze firmy Novetta, analizujący ataki na Sony Pictures, podobnie jak i amerykański wywiad, który nakłonił prezydenta Obamę do wprowadzenia na Północną Koreę sankcji za ten atak.

W tym jednak wypadku wygląda na to, że jeśli nawet Lazarus stoi za całą tą operacją, wcale nie chciało, by było to oczywiste. Wskazany przez Neela Mehta fragment kodu wcale nie pochodzi z piątkowego ataku, lecz z wczesnego prototypu. W późniejszych wersjach już kodu z furtki Cantopee nie było. Paradoksalnie, to tylko utrudnia podciągnięcie całej tej sprawy pod operację „fałszywej flagi” – gdyby jakaś strona trzecia chciała Lazarusa obarczyć odpowiedzialnością, by odwrócić od siebie uwagę, raczej by nie ukrywała dowodów (chyba że mamy do czynienia z fintą w fincie, napastnikami o wyjątkowej przebiegłości).

Musimy zachować kontrolę

Lazarusa obciążać by też miało zastosowanie kill-switcha, wbudowanego wyłącznika, który pozwalał zdalnie zneutralizować infekcję poprzez proste zarejestrowanie domeny o przypadkowej nazwie. Czegoś takiego nie spotyka się w malware opracowywanym przez zwykłych cyberprzestępców, to raczej specyfika cyberbroni tworzonych przez grupy hakerskie wspierane przez władze państwowe – dbają one o to, by ich narzędzia przypadkiem nie zwróciły się przeciwko nim.

No właśnie… przeciwko nim. To podstawowy problem z przypisaniem WannaCry wspieranej przez Północną Koreę grupie. Warto zwrócić uwagę na jedną rzecz: najmniej na tym cyberataku ucierpiały Stany Zjednoczone, to właśnie dzięki nagłej aktywacji killswitcha przez brytyjskiego badacza szkodnik został wyłączony, zanim Ameryka zdążyła się obudzić. Poważnie za to ucierpiały kraje eurazjatyckie, w tym Rosja i Chiny – kraje, które wobec Korei Północnej są jeszcze w jakimś stopniu przyjazne. Czyżby jednak fałszywa flaga?

Nic więc nie jest pewne, choć jak twierdzi rosyjski przecież Kaspersky Lab, odkrycie Neela Mehty jest najważniejszym jak dotąd dowodem w śledztwie, które może mieć strategiczne konsekwencje dla świata – szczególnie dziś, gdy napięcie na półwyspie koreańskim jest największe od lat, a reżim w Pjongjangu właśnie pochwalił się udanym testem pocisku balistycznego, mogącego przenosić ciężkie głowice jądrowe.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.