WannaCry pod fałszywą flagą? Trop póki co wiedzie do Korei Północnej

WannaCry pod fałszywą flagą? Trop póki co wiedzie do Korei Północnej

WannaCry pod fałszywą flagą? Trop póki co wiedzie do Korei Północnej
16.05.2017 13:27

Od ransomware WannaCry płakać się chciało ludziom w większościkrajów Starego Świata – jak do tej pory ocenia się, że ofiaramiwykorzystującego opracowane przez NSA exploity padło ponad 200tysięcy komputerów. Straty szacuje się już na setki milionówdolarów. A kto na tym wszystkim zyskał? Na pewno producencioprogramowania antywirusowego, których giełdowa wartość w ciąguraptem jednego dnia wzrosła o wiele miliardów. Tylko Symantec„urósł” o 750 mln dolarów. Trzeba byłoby jednak byćparanoikiem, by podejrzewać producentów oprogramowania o maczaniepalców w tym bezprecedensowym ataku. Kto jednak w takim razie za tymwszystkim stoi? Ślady wydają się prowadzić do… Korei Północnej.

Dowody na powiązania WannaCry z reżimem w Pjongjangu pierwszyprzedstawił Neel Mehta, badacz z Google’a. Na Twitterzeopublikował sekwencje liczb szesnastkowych, wskazujące na dwiepróbki kodu. Pierwsza z nich dotyczy próbki mechanizmu szyfrującegoWannaCry z lutego 2017 (jakiejś wczesnej wersji), druga zaś zfurtki Cantopee wykorzystywanej w malware grupy Lazarus, którąodkryto w lutym 2015 roku.

Obraz

Grupie Lazarus przypisuje się odpowiedzialność za naprawdępoważne cyberataki. W 2013 roku to Lazarus miał być odpowiedzialnyza skasowanie zawartości dysków linuksowych i uniksowych serweróww sieciach południowokoreańskich firm, w 2014 roku grupa tazaatakowała windowsową sieć Sony Pictures, niszcząc zawartośćdysków po uprzednim wykradnięciu setek gigabajtów poufnych danych,a w 2016 roku wykradła 81 mln dolarów z banku centralnegoBangladeszu. To jednak tylko najbardziej znane operacje, łącznie od2011 roku Lazarus miał odpowiadać za setki ataków, być może teżna polskieinstytucje finansowe.

Obraz

Z dużej chmury mały deszcz?

Tegoroczny atak WannaCry, który dotknął co najmniej 200 tysięcykomputerów w 150 krajach, póki co nie przyniósł jakichś wielkichkorzyści finansowych. Oczekiwane 300 dolarów w bitcoinach zaodszyfrowanie jak do tej pory zaowocowało około 230 transakcjami nałącznie nieco ponad 38 bitcoinów – po obecnym kursie będzie toponad 60 tys. dolarów. Oczywiście już niebawem kwoty zaodszyfrowanie zaczną rosnąć do 600 dolarów, zapewne wiele osób wkońcu zdecyduje się zapłacić, ale na pewno z atakiem na siećbankową Bangladeszu to się równać nie może.

Płatności okupu dla operatorów WannaCry możecie śledzić nabieżąco dzięki monitorującemu je botowina Twitterze.

Co właściwie wiemy o grupie Lazarus? Właściwie to niewiele.Kaspersky Lab wskazuje na jej powiązania z Koreą Północną,mające wynikać m.in. z wykorzystywania w niektórych atakachadresów IP należących do niewielkiej przecież puli adresowej tegoenigmatycznego państwa. Podobne wnioski wyciągnęli badacze firmyNovetta, analizujący ataki na Sony Pictures, podobnie jak iamerykański wywiad, który nakłonił prezydenta Obamę dowprowadzenia na Północną Koreę sankcji za ten atak.

W tym jednak wypadku wygląda na to, że jeśli nawet Lazarus stoiza całą tą operacją, wcale nie chciało, by było to oczywiste.Wskazany przez Neela Mehta fragment kodu wcale nie pochodzi zpiątkowego ataku, lecz z wczesnego prototypu. W późniejszychwersjach już kodu z furtki Cantopee nie było. Paradoksalnie, totylko utrudnia podciągnięcie całej tej sprawy pod operację„fałszywej flagi” – gdyby jakaś strona trzecia chciałaLazarusa obarczyć odpowiedzialnością, by odwrócić od siebieuwagę, raczej by nie ukrywała dowodów (chyba że mamy do czynieniaz fintą w fincie, napastnikami o wyjątkowej przebiegłości).

Musimy zachować kontrolę

Lazarusa obciążać by też miało zastosowanie kill-switcha,wbudowanegowyłącznika, który pozwalał zdalnie zneutralizować infekcjępoprzez proste zarejestrowanie domeny o przypadkowej nazwie. Czegośtakiego nie spotyka się w malware opracowywanym przez zwykłychcyberprzestępców, to raczej specyfika cyberbroni tworzonych przezgrupy hakerskie wspierane przez władze państwowe – dbają one oto, by ich narzędzia przypadkiem nie zwróciły się przeciwko nim.

No właśnie… przeciwko nim. To podstawowy problem zprzypisaniem WannaCry wspieranej przez Północną Koreę grupie.Warto zwrócić uwagę na jedną rzecz: najmniej na tym cyberatakuucierpiały Stany Zjednoczone, to właśnie dzięki nagłej aktywacjikillswitcha przez brytyjskiego badacza szkodnik został wyłączony,zanim Ameryka zdążyła się obudzić. Poważnie za to ucierpiałykraje eurazjatyckie, w tym Rosja i Chiny – kraje, które wobecKorei Północnej są jeszcze w jakimś stopniu przyjazne. Czyżbyjednak fałszywa flaga?

Nic więc nie jest pewne, choć jak twierdzi rosyjski przecieżKaspersky Lab, odkrycie Neela Mehty jest najważniejszym jak dotąddowodem w śledztwie, które może mieć strategiczne konsekwencjedla świata – szczególnie dziś, gdy napięcie na półwyspiekoreańskim jest największe od lat, a reżim w Pjongjangu właśniepochwalił się udanym testem pocisku balistycznego, mogącegoprzenosić ciężkie głowice jądrowe.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (22)