上周五在全球肆虐的勒索蠕蟲WannaCry,在短短的一個周末就造成全球150個國家、20萬臺電腦淪陷,然而到底是誰有本事發動這樣大規模的網路攻擊,讓全球陷入大亂呢?資安專家最近從程式碼的蛛絲馬跡發現,WannaCry的攻擊者與惡名昭彰的Lazarus駭客集團有很大的關聯,而Lazarus亦與北韓政府關係匪淺。

新證據是由Google研究員Neel Mehta率先公布,他在個人Twitter帳號公布了兩段字串,但沒做任何說明。隨後卡巴斯基實驗室研究總監Costin Raiu與Comae創辦人Matt Suiche證實,這兩段字串分別取自2017年2月份早期的WannaCry勒索蠕蟲程式,以及2015年2月份的Contopee後門程式的片段,這兩段程式碼幾乎相同,而經調查Contopee後門程式為Lazarus駭客集團所為。

然而根據程式碼類似就能判定WannaCry的幕後藏鏡人是Lazarus嗎?說不定是有心人士複製Contopee的程式碼片段,以嫁禍給Lazarus。卡巴斯基實驗室指出,確實有這種可能,然而比對目前流行的5月份的WannaCry程式碼,卻沒發現這段從2月份版本發現的程式碼,可合理推測攻擊者在2月開始測試攻擊程式時仍使用Contopee舊的程式碼,而在5月真正發動攻擊時才刪掉與Contopee相關的程式碼,由此行徑可高度懷疑WannaCry與Lazarus有相當的關係,若非是Lazarus駭客集團發動攻擊,就是有辦法取得Lazarus程式碼的組織。

Lazarus是近年來惡名昭彰的駭客集團。2014年的新力索尼影視被駭事件,以及日前沸沸揚揚的印度孟加拉銀行被利用SWIFT轉帳機制盜領8千多萬美元,經過許多資安研究員的調查,皆認為Lazarus是背後的攻擊者。

卡巴斯基實驗室表示,在調查孟加拉銀行盜領案時,一開始也沒有什麼證據指向攻擊者是Lazarus,然而隨著許多資安研究員發掘出更多訊息,證據一步步指向Lazarus。目前雖然尚無法定論WannaCry的幕後攻擊者就是Lazarus,但隨著全球的資安研究員找出更多蛛絲馬跡,應該能夠找出全球都迫切想知道的答案。


Advertisement

更多 iThome相關內容