专家质疑朝鲜在WannaCry网络攻击中的作用

关于WannaCry网络攻击的几件事是肯定的。这是历史上最大的一次，也是对即将发生的事情的可怕预览 -- 我们都将不得不习惯听到 “勒索软件” 这个词。但有一件事不太清楚: 朝鲜是否与此有关。

尽管有零星的证据表明朝鲜可能与朝鲜有联系，但专家警告说，目前尚无定论-还有很多可疑的理由。例如，为什么平壤会实施一场比其他任何人都更伤害其两个最亲密的战略伙伴的大黑客攻击？对于看似微不足道的战利品-截至周五，已支付的赎金总额不到100,000美元。

在袭击发生后的几天内，受人尊敬的网络安全公司赛门铁克和卡巴斯基实验室暗示了朝鲜的联系。谷歌研究员尼尔·梅塔 (Neel Mehta) 确定了WannaCry和与北方相关的恶意软件2015年之间的编码相似性。此后，媒体发布了有关平壤黑客联盟，其过去参与网络攻击以及长期寻找合法或黑幕的新收入来源的故事。

但是，识别复杂攻击背后的黑客是一项众所周知的艰巨任务。证明他们是在一个民族国家的明确命令下行事的，这甚至更加棘手。

另请阅读: 微软推迟了可能会减慢WannaCry速度的安全更新: 报告

当专家说朝鲜是袭击的幕后黑手时，他们通常的意思是平壤被怀疑与一个名为拉撒路的组织合作或通过一个组织合作。拉撒路的确切性质是阴云密布的，但一些人认为这是朝鲜黑客与中国 “网络雇佣军” 勾结在一起，有时愿意参与平壤的竞标。

拉撒路是网络犯罪世界中的一个严肃参与者。

它被称为 “高级持续威胁”，并在一些非常复杂的操作中被指责，包括今年试图破坏数十家银行的安全，对孟加拉国中央银行的攻击，去年净赚8100万美元，2014索尼雨刮器黑客和DarkSeoul，针对韩国政府和企业。

卡巴斯基实验室在去年的一份报告中说: “拉撒路集团的活动跨越了多年，可以追溯到2009年。”“他们的重点、受害者研究和游击式策略表明，除了传统的网络间谍活动之外，还有一个动态、敏捷和高度恶意的实体，可以销毁数据。”

但是一些专家将最新的攻击视为异常。

阅读更多: WannaCry: IT安全官员表示，由于意识水平低下，印度准备最少

WannaCry感染了150多个国家/地区的200,000多个系统，要求每位受害者支付300美元的比特币，以换取其被劫为人质的文件的解密。受害者在他们的电脑屏幕上收到警告，如果他们在三天内没有支付赎金，需求将会增加一倍。如果没有支付赎金，受害者的数据将被删除。

随着勒索软件攻击的发展，这是一个非常典型的设置。

但这不是-或至少不是-据信朝鲜黑客的工作方式。

“这不是朝鲜网络战争单位和黑客组织先前观察到的行为的一部分，” 约翰·霍普金斯高级国际研究学院的访问学者、朝鲜领导力观察的创始人迈克尔·马登 (Michael Madden) 在给美联社的一封电子邮件中说。“这将代表朝鲜的一种全新的网络攻击。”

麦登说，朝鲜 (如果有任何作用，则正式称为朝鲜民主主义人民共和国) 可以通过将攻击中使用的数据包的一部分提供或提供给另一个国家赞助的黑客组织来参与其中。它与之联系。

“这种勒索软件/越狱攻击根本不是朝鲜网络战争单位的作案手法的一部分，” 他说。“这需要一定程度的社交互动和文件存储，除了与其他黑客组织的人之外，朝鲜黑客和网络战争单位不会参与。基本上，他们必须等待比特币交易，存储被黑客入侵的文件，并与攻击目标保持联系。“

其他网络安全专家以不同的理由质疑平壤的角度。

网络安全智囊团关键基础设施技术研究所 (Institute for Critical Infrastructure Technology) 的高级研究员詹姆斯·斯科特 (James Scott) 认为，证据充其量仍然是 “间接的”，并认为WannaCry的传播是运气和疏忽，而不是复杂的。

他在最近的一篇博客文章中写道: “虽然拉撒路集团可能是WannaCry恶意软件的幕后黑手，但这种归因被证明是正确的可能性是可疑的。”“WannaCry的作者从Lazarus或类似的来源借用代码的可能性仍然更大。”

斯科特说，他认为朝鲜可能会攻击更多的战略目标-受灾最严重的两个国家，中国和俄罗斯，是朝鲜最亲密的战略盟友-或试图获取更多可观的利润。

WannaCry袭击的受害者似乎很少真正付清。根据追踪非法比特币活动的伦敦椭圆企业的说法，截至周五，与赎金要求相关的三个比特币 “钱包” 帐户中仅存入91,000美元。

斯科特说，更重要的是，急于指责朝鲜分散了对更大问题的注意力-制造商拒绝将安全性纳入其软件开发，组织未能保护其系统和客户数据以及政府 “管理，保护和披露发现的漏洞” 的责任导致的软件漏洞。

“全球攻击是新常态，” 他写道。