新線索發現：勒索病毒幕後黑手或來自朝鮮

難道勒索軟體背後是朝鮮？

據《福布斯》北京時間5月16日官網報道，世界各地的政府和安全專家都開始調查誰是「想哭」勒索軟體大規模爆發背後的推手，現在，出現了一個線索他們發現，幕後推手或來自朝鮮。以下為報道的詳細內容。

線索在於代碼。谷歌安全研究員梅赫塔（Neel Mehta）發布了一條神秘的推文，提到了兩款惡意軟體的樣本：一個是WannaCry（「想哭」勒索軟體），另一個樣本，是一個名為拉撒路集團（Lazarus Group）的黑客團伙的創作，後者與2014年對索尼的災難性攻擊相關聯，並且還攻擊了SWIFT銀行系統導致孟加拉國的一家銀行遭受網路盜竊，盜竊金額達到了創紀錄的8100萬美元。根據許多安全公司的以前的分析，拉撒路集團也屬於朝鮮。

在梅赫塔發推之後，卡巴斯基實驗室檢測了代碼，安全軟體開發商Proofpoint安全研究員達里恩·哈斯（Darien Huss）和安全公司Comae Technologies的創始人、安全專家馬特·蘇徹也進行了代碼監測。所有人一直在積極調查和，捍衛網路安全，對抗WannaCry，並都發現了勒索軟體與朝鮮之間可能的關聯。

所有人都相信，梅赫塔的發現可以為找出WannaCry的可能創造者提供線索，這款勒索軟體導致英國醫院停止工作，並導致日產和雷諾汽車工廠也出現了問題。但是，他們也都注意到，代碼中的信息可能也只是一個虛假的標誌，黑客有意地將其提供在代碼中，引導大家找錯方向。

什麼代碼被複制了？

梅赫塔和研究人員在這款勒索軟體中發現，一大塊WannaCry的代碼100％與Contopee的代碼相同，而Contopee是拉撒路集團使用的惡意軟體。WannaCry從2017年2月出現，而Contopee是從2015年2月開始。在兩個惡意軟體樣本中，黑客都使用了明顯相同的代碼，用於隨機代碼生成；勒索軟體會生成0到75之間的隨機數，並將其用於數據編碼，對惡意軟體的操作進行混淆，以躲過安全工具的檢測。

卡巴斯基實驗室基於複製的代碼表示，這是「目前為止，WannaCry起源最重要的線索」。 卡巴斯基實驗室全球研究和分析團隊主管Costin Raiu告訴《福布斯》，梅赫塔正在調查的惡意軟體似乎與英國BAE系統公司的發現一樣，即將孟加拉國銀行失竊與拉撒路集團聯繫起來。「當然，目前還需要更多的研究，但是梅赫塔可能會發現關於WannaCry有啟示作用的發現。」Raiu補充道。

蘇徹對此表示同意：「關於拉撒路集團的敘述，是對的...這個集團以攻擊如銀行這類金融機構而臭名遠播，他們以勒索軟體的方式，藉助口令貨幣竊取資金的事實，將被視為同樣的勒索手法。」

讓這條線索特別引人注意的是，代碼似乎是獨一無二的，只與拉撒路集團有聯繫，與其他任何方面，都沒有關係。一位要求匿名的研究人員表示，在可以訪問的大型病毒庫中，將代碼與惡意軟體進行比較，卻幾乎沒有匹配的已知惡意軟體。他說，使用WannaCry的黑客，很有可能只是從拉撒路集團所使用的工具中借用了非常有限的一部分，沒有其他惡意軟體的代碼，這使得兩者相關聯的可能性更大。

近幾年跟蹤拉撒路集團的安全巨頭賽門鐵克表示，它也發現了一些有趣的線索。其研究人員發現，WannaCry的早期版本在4月份和5月初並未廣泛流傳，但是在人們得知勒索軟體使用了拉撒路集團的工具后不久，勒索軟體的早期版本就在系統中發現了。「但是，我們還不能確認，是否是拉撒路集團的工具在這些系統上部署了WannaCry。」該公司有所保留地說道，WannaCry還使用了「拉撒路集團的工具一直以來特有的」Web加密形式。

賽門鐵克技術總監塔庫爾（Vikram Thakur）表示，自星期五以來，他的團隊一直在調查勒索軟體與主要網路組織可能的聯繫。他還注意到了WannaCry背後一些稍顯奇怪的舉動，特別是黑客使用共享的比特幣錢包來兌現。如果將這些信息包含在惡意軟體的代碼中，一旦有人決定取出錢包里的錢，追蹤這些錢的去向將會十分容易。這讓塔庫爾懷疑：攻擊者只是力圖造成全球損害而不是賺錢？從對索尼的攻擊和在韓國的破壞性入侵，勒索軟體的歸屬指向了拉撒路集團，該集團的確有可能參與了這款勒索軟體的大規模爆發，進而引起了在英國醫院出現病人生命堪憂的情況。

蓋棺定論，為時尚早

但是，對於上述一切，都還是要保持懷疑。安全專家表示，現在就下定論，還為時尚早。這些信息可能本身就是用來誤導研究人員和執法機構的。

代碼中，出現相似之處，並不意味著勒索軟體就是由同一個黑客擁有。正如哈斯所指出的那樣，拉撒路集團就是以基於開源代碼製作工具而出名。他補充說：「我的主要擔憂是，這些重疊的代碼可能本身就是竊取而來的。我們應該謹慎，因為這是一個真正的可能性，即，這只是兩個不同的組織複製的代碼，恰好重疊而已。」

黑客也會經常借用別人的代碼。事實上，也可能是一個黑客集團發現了拉撒路集團的工具，並重新使用了這些工具。或者，正如塔庫爾指出的那樣，可能有二千個惡意軟體樣本在一些地下論壇上被秘密分享，而犯罪分子則正在共享工具。在幾乎沒有線索的情況下，WannaCry的受害者共支付了價值6萬美元的比特幣，尚未追溯到任何犯罪者，至少目前是這樣。（編譯/楠鑫）