来源: 时间:2022-04-30 13:35:06
周一,将计算机文件劫为人质的全球网络攻击似乎进展缓慢,因为当局正在努力追捕其背后的勒索者-这是一项艰巨的任务,涉及搜索数字线索并追踪金钱。
到目前为止,他们的发现包括: 关于被称为WannaCry的 “勒索软件” 与与朝鲜有联系的黑客之间可能存在联系的第一个建议。这些发现仍然是试探性的; 一家推进它们的公司称它们很有趣,但仍然 “薄弱”。
专家警告说,WannaCry可能会在周一造成新的破坏,尤其是在亚洲,该地区于周五关闭,当时恶意软件在医院,工厂,政府机构,银行和其他企业中扰乱了数据。
但是,尽管那里还有成千上万的其他感染,但预期的第二波爆发在很大程度上未能实现,部分原因是安全研究人员已经对其进行了破坏。
芬兰安全公司F-Secure的首席研究官Mikko Hypponen说,WannaCry的肇事者犯了一个关键错误。
“恶意软件变得太成功了,” Hypponen说。“当你是一个网络犯罪团伙,你的使命是赚钱时,你不想感染200,000工作站。您不想最终成为杂志的封面。不会缺少调查。”
关于朝鲜的联系
WannaCry瘫痪了一些150国家/地区运行大多数旧版本Microsoft Windows的计算机。它加密了用户的计算机文件,并显示一条消息,要求释放价值300至600美元的数字货币比特币。如果不付款,将使数据混乱不堪,并且可能无法修复。
俄罗斯安全公司卡巴斯基实验室 (Kaspersky Lab) 周一表示,WannaCry计划的某些部分使用与Lazarus Group先前分发的恶意软件相同的代码,Lazarus Group是索尼2014黑客攻击朝鲜的幕后黑手。
但是,代码可能只是从Lazarus恶意软件中复制而来,而没有任何其他直接连接。卡巴斯基说: “进一步的研究对于连接这些点至关重要。”
另一家安全公司赛门铁克 (Symantec) 也发现了WannaCry和Lazarus工具之间的相似之处,并表示 “正在继续调查以寻求更牢固的联系”。
跟着钱走
研究人员可能会在接受赎金支付的比特币账户中找到一些额外的线索。到目前为止,已经确定了三个账户,目前还没有迹象表明犯罪分子已经触及了这些资金。但是,金钱只是作为数字位坐在那里有什么好处呢?
尽管比特币是匿名的,但研究人员可以观察到它在用户之间的流动。加利福尼亚安全公司McAfee的首席技术官史蒂夫·格罗布曼 (Steve Grobman) 说,因此调查人员可以跟踪交易,直到匿名帐户与真实的人匹配为止。
但是这种技术不确定。有办法通过第三方将比特币兑换成现金。如果他们在一个不合作的司法管辖区,即使找到一个真正的人也可能没有帮助。
另一个可能的滑倒: 在加州大学伯克利分校教授网络和安全的尼古拉斯·韦弗 (Nicholas Weaver) 表示,良好的勒索软件通常会为每次付款生成一个唯一的比特币地址,从而使追踪变得困难。这似乎不是在这里发生的。
告密标志
华盛顿战略与国际研究中心的网络安全专家詹姆斯·刘易斯 (James Lewis) 表示,美国调查人员正在收集法医信息,例如互联网地址,恶意软件样本或罪魁祸首可能无意中留在计算机上的信息,这些信息可能与已知黑客的手工相匹配。
调查人员还可以从连接到WannaCry的 “杀死开关” 的先前隐藏的internet地址中提取有关攻击者的一些信息。韦弗说,这个开关本质上是一个信标,向隐藏的地址发送 “嘿,我被感染了” 的信息。
这意味着第一次尝试到达该地址,可能是由NSA或俄罗斯情报机构等间谍机构记录的,可能会导致 “零号病人”-第一台感染WannaCry的计算机。反过来,这可能会进一步缩小对可能嫌疑人的关注。
球员
不过,法医只能让调查人员到目前为止。一个挑战将是实时共享情报,以便像罪犯一样迅速行动-当一些主要国家 (例如美国和俄罗斯) 相互不信任时,这是一项棘手的壮举。
即使可以确定肇事者,将他们绳之以法也可能是另一回事。前美国司法部律师,网络安全专家罗伯特·卡塔纳赫 (Robert Cattanach) 说,他们可能躲藏在不愿引渡嫌疑人进行起诉的国家。
另一方面,WannaCry袭击袭击了许多国家,并使他们感到恼火。卡塔纳赫说,俄罗斯是最困难的国家之一,英国是最引人注目的国家之一,两者都有 “相当好的调查能力”。
相关推荐
猜你喜欢
