勒索病毒幕後黑手指向朝鮮，微軟怒批美政府囤積漏洞做武器

據路透社、金融時報等多家外媒報道，肆虐全球的電腦勒索病毒 WannaCry 可能與朝鮮有關。谷歌、賽門鐵克（Symantec）和卡巴斯基實驗室（Kaspersky Lab）等多個機構經過研究后發現，惡意程序代碼中的線索將幕後黑手的身份指向了朝鮮。

與此同時，微軟在其官網發布了一則公告，公開指責美國政府情報機構發現安全漏洞后不是通知廠商修復，而是積累起來用於日後的網路情報工具。

甩鍋給朝鮮，就因為他們中招的電腦少？

谷歌安全研究人員尼奧·梅塔（Neel Mehta）在其社交媒體上表示，此次肆虐全球的 WannaCry 勒索病毒和之前國際神秘黑客組織「拉撒路」（Lazarus Group）使用的惡意軟體腳本非常一致，而該組織此前就被多家安全機構認定來自朝鮮。

據了解，拉撒路組織曾涉及2014年索尼影業遭攻擊事件以及史上規模最大的銀行黑客盜竊案——孟加拉國中央銀行失竊8100萬美元案件。

網路安全公司 Proofpoint 和卡巴斯基實驗室將 尼奧·梅塔 提供的樣本進行分析后也發現，WannaCry 中的一部分代碼和拉撒路組織用的惡意軟體代碼幾乎一模一樣 —— 兩者使用了相同的隨機數生成 0 到75之間的隨機數，用於對劫持數據的加密以及通過混淆，避免安全工具的檢測。

早前幾天，WannaCry 勒索病毒波及全球150個國家，感染超過30萬台電腦時，就有人在感染地圖上發現，朝鮮是少有的，完全沒有監測到「中招」的國家。因此也懷疑朝鮮與幕後黑手有關，因為這過於巧合。

也可能是「紅星」操作系統救了朝鮮

不過，威脅情報平台微步在線的安全專家秋石表示：

根據目前的線索，並不能下定論說黑客就來自於朝鮮，完全有可能是誤判。

許多黑客工具在網上是公開的，或者在存在售賣的情況，同樣的代碼片段和技巧可能會被不同的病毒編寫者採用。只根據一個角度的證據就輕易下結論是不可取的。

只能說，從目前全球各國安全研究者的分析來看，Lazarus團伙嫌疑相對較大。 卡巴斯基方面目前也表示需要進一步的研究才能下定論。

有人認為，朝鮮沒有中招的原因有很多，比如朝鮮有自己內部開發的操作系統，這款操作系統名為 Red Star OS，而此次勒索者利用的是 Windows 系統的「永恆之藍」漏洞。如果朝鮮人民都不怎麼用 Windows 系統，自然就可以解釋他們為什麼沒有中招。況且，僅憑沒有「中招」就懷疑其為幕後黑手，實在沒什麼依據。

微軟血淚控訴美國政府「囤漏洞」行為

微軟總裁布拉德·史密斯（Brad Smith）周日在博客中表示：「此次攻擊再次表明，為何政府部門私藏漏洞信息會是個問題。」

微軟在公告中表示：

「我們看見，維基解密上出現了美國中央情報局（CIA）保存的漏洞，而目前來自美國國家安全局（NSA）的這一漏洞影響了全球的用戶。已有多起事件表明，政府部門掌握的漏洞信息會流向公眾，進而造成廣泛的破壞。

政府和世界應該將此次攻擊當做警鐘，他們應該採取不同的措施，在網路世界，也堅守和物理世界一樣適用於武器的準則。政府在將漏洞囤積並利用其做工具時，應該意識到這一舉動給平民帶來的災難，這也是我們在今年二月呼籲應有新『數字世界日內瓦公約』來管束這些事件的原因之一，包括政府應該向供應商報告脆弱性，而不是囤積、售賣或利用漏洞。

我們應該重新審視最近這起攻擊中的各項決定，更迫切地採取行動，我們需要技術部門、消費者、政府部門一起協作，抵禦網路攻擊。」

這次的「永恆之藍（Eternal Blue）」勒索蠕蟲，正是利用了去年被盜的NSA自主設計的Windows系統黑客工具Eternal Blue，把今年2月的一款勒索病毒升級。一個月前，第四批 NSA 相關網路攻擊工具及文檔被 Shadow Brokers 組織公布，包含了涉及多個 Windows 系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

漏洞被盜，等同於戰斧導彈被盜

今年3月，維基解密稱已取得美國中央情報局（CIA）用來入侵電話、通訊app和其他電子裝置的高度機密黑客文件，還稱CIA與其他美國及外國機構聯手，能規避多種APP的加密程序。

微軟和蘋果等公司紛紛反對美國相關機構的此類監控行為，蘋果此前還曾拒絕協助FBI解鎖槍擊案嫌疑犯iPhone。

史密斯在聲明中稱，前有CIA入侵手機，現在又是美國國家安全局間接催生了這一次全球規模的病毒感染，再次證明**政府累積的安保風險「問題很大」**。「政府的這些行為反覆流入公共領域，造成廣泛的破壞」， 史密斯甚至稱，這一事態的嚴重性相當於美國的戰斧導彈(Tomahawk)被盜。

華爾街日報指出，**這一聲明是技術領域對政府「最強烈的投訴」**。 史密斯斥責稱，周五的病毒襲擊再次體現「美國國家安全局和有組織犯罪行為之間，無意但令人不安的聯繫」。

白宮曾經制定過一種機構間的合作程序——「漏洞公平裁決程序」（Vulnerabilities Equities Process），用來審查技術安全瑕疵，並決定哪些安保漏洞應被公開。去年4月，FBI曾據此告知蘋果公司產品中存在安全漏洞。

史密斯還在博文回擊了對一些網路言論對微軟系統的指控，早在今年3月14日，微軟就發布了相關補丁，但是很多用戶尚未來得及打補丁。史密斯同時表示，微軟正在「爭分奪秒地」協助受影響的客戶，甚至為已經停止技術支持的老版本操作系統提供支持。

在此次全球大規模的勒索蠕蟲攻擊爆發后，微軟在5月13日決定對已經停止支持的 Windows XP 、Windows 2003 等發布特別補丁。

NSA泄密者愛德華•斯諾登(Edward Snowden)稱，微軟方面的這些話「非同尋常」。斯諾登因泄露了成千上萬份機密文件而被美國通緝。

他在Twitter上發帖稱：「直到周末的攻擊發生前，微軟一直拒絕公開證實這一點，美國政府則既不願證實也不否認這個漏洞出自他們之手。」

截止目前，美國國家安全局仍然沒有任何針對這次病毒襲擊的表態。

美國一直以來的「假想敵」俄羅斯這次真想哭

而且頗為諷刺的是，該局的「一把手」Michael Rogers在5天前這輪病毒襲擊還沒發生時曾經針對網路襲擊發言，可當時他眼中的假想「受害者」卻是美國，而「假想敵」則是這次被「想哭么」病毒差點「搞哭」的俄羅斯……

所以，美國《紐約時報》今天也撰文挖苦說：俄羅斯又一次站在了全球網路襲擊的風暴中心，只不過他們的角色反而是受害者，而且還是受傷最深的那個。

根據卡巴斯基實驗室分析員的調查，WanaCrypt0r 首波受害的國家，俄羅斯是其中受害最嚴重的國家之一，而且惡意程序看來要儘可能感染越多位在俄羅斯的電腦越好。

由於黑客運用從 NSA 偷來的惡意程序，改成這次造成全球尺度大災情的勒索病毒，因此來自 NSA 修改的程序會特別針對俄羅斯下手並不令人意外。

除了俄羅斯的政府機關，俄羅斯的鐵路公司和銀行甚至醫院也嚴重受創。不過這些單位關鍵的內網並未受影響。

由於俄羅斯的電腦有不少用老舊版本或盜版的 Windows 操作系統，操作系統往往未更新，因此成為 WanaCrypt0r 相當好下手的目標。俄羅斯內政部有上千台電腦受感染，但所幸關鍵的伺服器未被感染，因為伺服器電腦用的是俄羅斯國產的操作系統。

俄羅斯的機構 Institute of Problems of Globalization in Russia 總監 Mikhail Delyagin 說 WanaCrypt0r 背後是美國政府搞鬼，目的是報復俄羅斯的黑客攻擊行動。

儘管這次 WanaCrypt0r 風暴俄羅斯損失慘重，但先前俄羅斯常常是不少黑客攻擊活動的發起地。像是俄羅斯黑客被指控侵入美國民主黨全國委員會的網站，欲暗助共和黨候選人川普當選美國總統。俄羅斯黑客研發的 Gameover Zeus 惡意程序系統，裡面含有勒索軟體 Cryptolocker。