Da li je Severna Koreja krivac za epidemiju ransomwarea WannaCry

Vesti, 17.05.2017, 00:00 AM

Da li je Severna Koreja krivac za epidemiju ransomwarea WannaCry

Ransomware WannaCry nije iza sebe ostavio samo haos koji je prouzrokovan infekcijom na desetine hiljada računara širom sveta, već i pitanja koja su i dalje bez odgovora. Jedno od njih o kome u danima posle napada razmišljaju stručnjaci i žrtve ransomwarea je zašto bi neka kriminalna grupa paralizovala toliko mnogo kritičnih sistema zbog relativno male zarade? Tako se u priči o ovom napadu pojavila Severna Koreja, kao mogući krivac za napad.

Googleov istraživač Nil Meta objavio je u ponedeljak zagonetni tvit koji sadrži samo niz karaktera. Oni upućuju na dva dela koda u dva uzorka malvera.

Drugi istraživači su iz tog tvita izveli zaključak da je deo koda rane verzije ransomwarea WannaCry koja se pojavila u februaru isti kao i deo koda backdoor programa Contopee. Ovaj program je koristila poznata grupa Lazarus, za koju se smatra da je pod kontrolom vlade Severne Koreje.

Grupa Lazarus se dovodi u vezu sa razornim napadom na kompaniju Sony Pictures koji se dogodio krajem 2014. godine, a koji su američke obaveštajne agencije pripisale vlastima Severne Koreje.

Kompanija Kaspersky Lab je pre nešto više od mesec dana objavila neke dokaze koji povezuju napade na banke u Vijetnamu, napad na Centralnu banku Bangladeša, i na SWFIT bankarski sistem, sa grupom Lazarus i Severnom Korejom. U tim napadima je korišćen backdoor program Contopee.

Pošto je Googleov istraživač u ponedeljak objavio pomenuti tvit, istraživači Kaspersky Laba su analizirali sličnosti dva uzorka koda. Oni su potvrdili da su deo koda malvera grupe Lazarus i deo koda rane verzije WannaCry ransomwarea isti. Ipak, oni smatraju da je potrebna detaljna analiza starijih verzija WannaCry ransomwarea i da se tu možda krije ključ koji bi rešio neke zagonetke u vezi ovog napada.

Istaživači Kaspersky Laba smatraju da bi ponavljanje koda moglo biti "lažna zastava" koja bi trebalo da zavara istraživače i da okrivi Severnu Koreju za napad.

Uostalom, autori WannaCry ransomwarea preuzeli su i tehnike NSA. Ransomware koristi exploit EternalBlue koji je grupa Shadow Brokers ukrala od NSA i objavila u aprilu.

Iako smatraju da je ovakav scenario moguć, on je prema njihovim rečima malo verovatan. Autori WannaCry ransomwarea nisu bukvalno kopirali kod NSA, već su ga pokupili iz javnog hakerskog alata Metasploit. Sa druge strane, rana verzija WannaCry ransomwarea bazirana je na prilagođenom vlasničkom izvornom kodu koji je korišćen u familiji backdoor programa grupe Lazarus, i nigde više.

Sumnja da je Severna Koreja umešana u prošlonedeljni napad je još uvek daleko od potvrde. Ipak, treba imati na umu da su tokom poslednje decenije, sajber napadi Severne Koreje su evoluirali od DDoS napada na ciljeve u Južnoj Koreji, do sofisticiranih napada, kao što je pomenuti napad na Sony.

Ako iza ransomwarea WannaCry ne stoji Lazarus, već grupa običnih sajber kriminalaca, onda je reč o kriminacima koji su pokazali da ne umeju da zarade. WannaCry u svom kodu ima neobjašnjivi "prekidač" koji sprečava njegovo širenje. Osim toga, ransomware se nije pokazao uspešnim u identifikaciji onih koji su platili otkup.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle glasanja u parlamentu EU, Kaspersky Lab obustavlja saradnju sa Europolom i rad na projektu No More Ransomware

Posle glasanja u parlamentu EU, Kaspersky Lab obustavlja saradnju sa Europolom i rad na projektu No More Ransomware

Kaspersky Lab objavio je danas da privremeno prekida saradnju sa Europolom nakon glasanja za kontroverzni predlog u Evropskom parlamentu. Za predlog s... Dalje

Bezbednosni propust u Windowsu 10 omogućava preuzimanje kontrole nad računarom, čak i kada je zaključan

Bezbednosni propust u Windowsu 10 omogućava preuzimanje kontrole nad računarom, čak i kada je zaključan

Ranjivost u operativnom sistemu Windows 10 omogućava napadačima da lako preuzmu kontrolu nad računarom čak i kada je zaključan, oslanjajući se ... Dalje

Google ukida mogućnost instalacija dodataka za Chrome sa sajtova

Google ukida mogućnost instalacija dodataka za Chrome sa sajtova

Google je najavio da će postepeno ukinuti mogućnost instaliranja dodataka za Chrome sa udaljenog web sajta, poznatog kao "inline" instalacija. Prem... Dalje

Yahoo kažnjen sa 335000 dolara zbog kompromitovanja podataka 2014. godine

Yahoo kažnjen sa 335000 dolara zbog kompromitovanja podataka 2014. godine

Kancelarija britanskog poverenika za informacije je kaznila sa 250000 funti (335000 dolara) zbog kompromitovanja podataka koje je uticalo na više od ... Dalje

Apple zabranio aplikacije koje kopaju kriptovalute

Apple zabranio aplikacije koje kopaju kriptovalute

Apple je ažurirao smernice za App Store kako bi rešio problem sa aplikacijama koje koriste uređaje korisnika za rudarenje kriptovaluta. Ažuriranim... Dalje