Ροή
Πιθανή σύνδεση της κυβερνοεπίθεσης WannaCry που χτύπησε περισσότερους από 200.000 υπολογιστές σε 150 χώρεςμε την κυβερνοεκγληματική ομάδα της Βόρειας Κορέας γνωστή κι ως Lazarus Group εντοπίζουν δύο κορυφαίοι ειδικοί της ασφάλειας.
Σύμφωνα με τα όσα ανακοίνωσαν Kaspersky και Symantec, την Δευτέρα, οι οι τεχνικές λεπτομέρειες σε μια πρώιμη έκδοση του κώδικα WannaCry, η οποία κυκλοφόρησε τον Φεβρουάριο, είναι παρόμοιες με το κακόβουλο λογισμικό που αποδόθηκε στη διαβόητητ ομάδα χάκερ Lazarus, υπεύθυνη για μια σειρά καταστροφικών επιθέσεων εναντίον κυβερνητικών οργανισμών, μέσων ενημέρωσης και χρηματοπιστωτικών ιδρυμάτων, μεταξύ των οποίων η Sony Pictures το 2014, η ψηφιακή ληστεία της Κεντρικής Τράπεζας του Μπαγκλαντές το 2016 και άλλες.
Ο όμιλος Lazarus είναι επίσης γνωστός για τη χρήση αλλά και ζήτηση Bitcoin σε παρόμοιες επιθέσεις.
Οι ομοιότητες εντοπίστηκαν για πρώτη φορά από τον ερευνητή ασφάλειας της Google, Neal Mehta, και επαναλήφθηκαν από άλλους ερευνητές, όπως ο Matthieu Suiche από την Comae Technologies που εδρεύει στην ΗΑΕ
Συγκεκριμένα οι ερευνητές επεσήμανε ένα δείγμα κακόβουλου λογισμικού του WannaCry, το οποίο εμφανίστηκε ελεύθερο στο Διαδίκτυο το Φεβρουάριο του 2017, δύο μήνες πριν από το πρόσφατο κύμα επιθέσεων. Οι ερευνητές της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab ανέλυσαν αυτές τις πληροφορίες, αναγνώρισαν και επιβεβαίωσαν σαφείς ομοιότητες στον κώδικα του δείγματος κακόβουλου λογισμικού που επισημάνθηκε από τον ερευνητή της Google και των δειγμάτων κακόβουλου λογισμικού που χρησιμοποίησε η ομάδα Lazarus στις επιθέσεις του 2015.
Σύμφωνα με τους ερευνητές, η ομοιότητα φυσικά θα μπορούσε να είναι ένα false flag. Ωστόσο, η ανάλυση του δείγματος του Φεβρουαρίου και η σύγκριση με τα δείγματα του WannaCry που χρησιμοποιήθηκαν στις πρόσφατες επιθέσεις δείχνουν ότι ο κώδικας που υποδεικνύει την ομάδα Lazarus αφαιρέθηκε από το κακόβουλο λογισμικό WannaCry που χρησιμοποιήθηκε στις επιθέσεις που ξεκίνησαν την περασμένη Παρασκευή. Βέβαια αυτή η αφαίρεση μεταφράζεται από πολλούς κι ως προσπάθεια κάλυψης ιχνών των διαχειριστών της εκστρατείας WannaCry.
Αυτή η ομοιότητα από μόνη της δεν επιτρέπει την απόδειξη μιας ισχυρής σχέσης μεταξύ του ransomware WannaCry και της ομάδας Lazarus, αφού θα μπορούσαν άλλοι κυβερνοεγκληματίες να μιμηθούν των κώδικα των Lazarus. Ωστόσο μπορεί μελλοντικά να οδηγήσει σε νέες αποδείξεις που θα ρίξουν φως στην προέλευση του WannaCry, η οποία μέχρι στιγμής παραμένει μυστήριο.
«Πιστεύουμε ότι είναι σημαντικό κι άλλοι ερευνητές παγκοσμίως να διερευνήσουν τις συγκεκριμένες ομοιότητες και να προσπαθήσουν να ανακαλύψουν περισσότερα στοιχεία σχετικά με την προέλευση της Wanna Cry», δήλωσε σε μια δημοσίευσή της στο blog η ομάδα των Kaspersky Lab, επισημαίνοντας ότι στις πρώτες ημέρες της τραπεζικής επίθεσης στο Μπαγκλαντές υπήρχαν ελάχιστες ενδείξεις που συνέδεαν την κακόβουλη ενέργεια με την ομάδα Lazarus, αλλά με την πάροδο του χρόνου οι ερευνητές βρήκαν περισσότερες ενδείξεις που συνέδεαν την υπόθεση με τους κυβερνοεγκληματίες της Βόρειας Κορέας.
Η Kaspersky είναι μεταξύ των ερευνητικών ομάδων που μελετούν τον όμιλο Lazarus εδώ και χρόνια. Μάλιστα τον Απρίλιο δημοσίευσαν μια αναλυτική έκθεση «under the hood» που ανέλυε τον τρόπο λειτουργίας της ομάδας.
«Το επίπεδο πολυπλοκότητας δεν είναι κάτι που συναντά κανείς συχνά στους εγκληματίες του κυβερνοχώρου. Είναι κάτι που απαιτεί αυστηρή οργάνωση και έλεγχο σε όλα τα στάδια της επιχείρησης. Αυτός είναι ο λόγος για τον οποίο πιστεύουμε ότι οι Lazarus δεν είναι απλώς ένας επίμονος απειλητικός ιός», ανέφερε η Kaspersky, η οποία εντόπισε πως οι επιθέσεις προέρχονται από κάποιες διευθύνσεις IP στη Βόρεια Κορέα.
Η επίθεση ransomware της WannaCry έχει πλέον χτυπήσει περισσότερους από 200.000 υπολογιστές σε 150 χώρες, μεταξύ των οποίων νοσηλευτικά ιδρύματα, κυβερνητικούς οργανισμούς και επιχειρηματικούς κολοσσούς.
Η σύνδεση των επιθέσεων με την Βόρεια Κορέα έρχεται τη στιγμή που οι ερευνητές και οι μεγάλες τεχνολογικές εταιρείες ασκούν σκληρή κριτική στην αμερικανική κυβέρνηση για την αποθήκευση cyberweapons, συμπεριλαμβανομένου του κακόβουλου λογισμικού που χρησιμοποιείται στο WannaCry.
Τα exploits του WannaCry που χρησιμοποιήθηκαν για τις επιθέσεις αντλήθηκαν από την NSA, μετά από μια επίθεση που δέχτηκε από τους Shadow Brokers τον Αύγουστο του 2016. Η NSA και άλλες κυβερνητικές υπηρεσίες σε όλο τον κόσμο δημιουργούν και συγκεντρώνουν ευπάθειες σε δημοφιλή συστήματα λογισμικού (όπως τα Windows) ως «όπλα» για τη συλλογή πληροφοριών και την καταπολέμηση των εχθροπραξιών του κυβερνοχώρου.
Μόλις οι συγκεκριμένες ευπάθειες διέρρευσαν από τους Shadow Brokers, έγιναν διαθέσιμες στους εγκληματίες του κυβερνοχώρου και ικανές να δημιουργήσουν ransomware για οικονομικά οφέλη.
