来源: 时间:2022-05-02 18:35:05
网络安全公司赛门铁克公司 (Symantec Corp) 周一表示,“极有可能” 与朝鲜有关联的黑客组织是本月WannaCry网络攻击的幕后黑手,该攻击感染了全球超过300,000台计算机,并扰乱了全球的医院,银行和学校。
赛门铁克的研究人员说,他们已经发现了多个代码实例,这些代码在与朝鲜有联系的小组以前的活动和WannaCry的早期版本中都使用过。
此外,使用相同的Internet连接在两台计算机上安装了WannaCry的早期版本,并与破坏Sony pictures Entertainment文件的工具进行通信。美国政府和私人公司在2014索尼袭击事件中指责朝鲜。
朝鲜通常否认有任何此类角色。周一,它称早些时候的报道称,它可能是WannaCry袭击的幕后黑手,是 “一场肮脏而卑鄙的诽谤运动”。
拉撒路 (Lazarus) 是许多安全公司给索尼攻击背后的黑客组织和其他组织的名字。按照惯例,赛门铁克不会将网络活动直接归因于政府,但其研究人员并未质疑拉撒路为朝鲜工作的普遍信念。
在一篇博客文章中,赛门铁克列出了Lazarus与该组织在2月推出较早的恶意软件版本后留下的软件之间的许多链接。一种是在Sony pictures攻击期间用于擦除磁盘的软件的变体,而另一种工具使用与其他两个与Lazarus链接的恶意软件相同的internet地址。
与此同时,Symantec安全响应技术总监Vikram Thakur表示,WannaCry代码的缺陷,其广泛传播以及在文件解密之前对电子比特币付款的要求表明,在这种情况下,黑客并未为朝鲜政府的目标而工作。
Thakur在接受采访时说: “我们非常有信心这是与Lazarus集团有联系的人的工作,因为他们必须访问源代码。” 但他补充说: “我们不认为这是一个民族国家经营的行动。”
塔库尔说,有了WannaCry,拉撒路集团的成员可能是为了赚钱而兼职,或者他们可能离开了政府部门,或者他们可能是承包商,而没有直接义务只为政府服务。
官员私下里说,最有效的WannaCry版本是通过使用Microsoft Windows中的漏洞和利用美国国家安全局使用的程序来传播的。
该程序是一批泄漏或被盗的程序之一,然后被一个自称为影子经纪人的组织在线丢弃,美国情报机构中的一些人认为该组织与俄罗斯有关联。
分析人士一直在就WannaCry背后的人的身份发表各种理论,一些早期证据表明朝鲜。影子经纪人支持这一理论,也许是为了减轻他们自己的政府支持者的灾难。
网络安全公司卡巴斯基 (Kaspersky) 表示,它发现了早期攻击中的WannaCry恶意软件与Lazarus使用的恶意软件之间的一些相似之处。但在上周的一次采访中,其亚洲研究主管维塔利·卡姆卢克 (Vitaly Kamluk) 表示,这不是确凿的证据。“这很不寻常,” 他说。
大西洋理事会网络治国倡议的副主任博·伍兹 (Beau Woods) 表示,在WannaCry赎金笔记的某些版本中使用的韩语不是母语人士的韩语,因此不太可能与拉撒路建立联系。
但是塔库尔说,一些黑客故意混淆他们的语言,使追踪他们变得更加困难。他说,有可能的作者是另一个国家的承包商。
塔库尔说,不太可能发生的情况是,拉撒路的主要目的是通过分发WannaCry来制造混乱。
如果黑客的主要目标是在一边赚钱,那将表明朝鲜进行了无纪律的黑客行动,这可能会被朝鲜的许多敌人利用和削弱。
塔库尔说: “情报界可能会从这一点上获悉,拉撒路集团有可能出现碎片,或者有兴趣填补自己口袋的成员,这可能会有所帮助。”
拉撒路还与使用其SWIFT消息网络对银行的攻击有关。去年,黑客从孟加拉国中央银行窃取了8100万美元。赛门铁克说,该攻击中使用的恶意软件与拉撒路有关。
相关推荐
猜你喜欢
