5月16日消息 据福布斯报道,电脑勒索病毒肆虐全球,谷歌和卡巴斯基安全实验室等多个机构经过研究发现,幕后黑手可能来自朝鲜,线索隐藏在代码中。
谷歌安全研究员Neel Mehta发布推文,将两个恶意软件样本进行对比。其一便是正在肆虐全球的WannaCry勒索病毒,另一段样本出自神秘黑客组织“拉撒路组”(Lazarus Group)之手。有证据显示,拉撒路组与2014年索尼黑客事件以及孟加拉国SWIFT银行网络攻击事件有关联,两起案件分别造成索尼多部未上映电影资源和商业信息遭泄露,以及孟加拉国中央银行失窃8100万美元。根据多家安全公司的分析,拉撒路组来自朝鲜。
卡巴斯基实验室和网络安全公司Proofpoint的研究员对Mehta提供的对比进行仔细调查。
研究人员发现,WannaCry中的一部分代码与一个名叫Contopee的恶意软件100%一致,而后者正是拉撒组惯用的恶意软件。两个恶意软件使用相同的随机数生成0到75之间的随机数,用于对劫持数据的加密以及通过混淆避免安全工具的检测。
卡巴斯基实验室称发现同源代码是查找“WannaCry起源的最重要线索”。卡巴斯基全球研究和分析团队主管Costin Raiu对福布斯表示,Mehta展示的恶意软件几乎与此前孟加拉国银行攻击中出现过的恶意代码一模一样。不过他也表示还需要更多研究才能下结论。
阿联酋网络安全公司创始人Matthieu Suiche认同病毒可能与拉撒路组存在联系,并指出犯罪目标和手法的一致性。
这些代码的独特性也引人遐想。数据对比显示,除了拉撒路组,再没有其他任何组织使用过同样的代码。一位要求保持匿名的研究员称,他将样本在目前可以访问的大型病毒库中进行对比,几乎没有匹配。这使得拉撒路组同本次勒索病毒的爆发之间存在关联的可能性更大。
赛门铁克关注拉撒路组多年。研究人员称WannaCry使用了拉撒路组惯用的Web加密形式。赛门铁克技术总监Vikram Thakur自周五一来便对病毒进行密切关注,指出攻击者目的似乎仅是为了造成网络混乱,而非获得经济利益。
下结论为时过早
不过研究人员并不急于下结论,称这些线索有可能是攻击者事先埋下用以误导调查。相同的代码并不能确定来自同一个黑客,也有可能是攻击者借用了拉撒路组的代码并实施攻击。安全专家指出,有大约2000个恶意软件样本在一些地下论坛上被秘密分享,网络犯罪分子在这些论坛上分享黑客技术。