Следите на WannaCry водят към Северна Корея

Севернокорейски хакери от групата Lazarus може би стоят зад атаката с криптовируса изнудвач WannaCry, който покоси стотици хиляди Windows компютри по целия свят.

Много изследователи на сигурността са забелязали съответствие между WannaCry и злонамерен корейски софтуер, известен от по-рано. Нийл Мейта, изследовател от Google, публикува съобщение в Twitter с маркера #WannaCryptAttribution, което съдържа кодове от криптиращия модул на WannaCry от февруари 2017 г. и извадки от кода на бекдора Lazarus APT от февруари 2015 г.

Lazarus е добре позната хакерска група, чието име се свързва с атаката Sony Wiper, както и с банковия обир в Бангладеш за няколко милиона долара. Групата е активна от 2011 г. насам, като през годините са събрани стотици проби от нейния злонамерен софтуер.

Но не може да се твърди със сигурност, че именно Lazarus стои зад настоящата глобална атака. Лесно би било за авторите на WannaCry да копират кода на Lazarus. От друга страна, кодът изглежда не е премахнат от бекдора Lazarus APT от 2015 г., което прави историята много по-правдоподобна.

Експерти от компанията за сигурност Лаборатория Касперски са сигурни, че пробата от WannaCry, предоставена през февруари 2017 г., съдържа код, съставен от същите хора, които стоят зад текущата атака, или от хора с достъп до същия изходен код.

И други изследователи в областта на сигурността освен Нийл Мейта от Google забелязват приликата между двата кода, вкл. Матю Сюиш от Comae Technologies, който откри и унищожи нов вариант на WannaCry.

Освен това Lazarus е бил идентифициран от американските разузнавателни агенции като севернокорейска правителствена операция. Миналия месец Лаборатория Касперски представи доказателства за връзка между Lazarus и Северна Корея с атаките срещу банки във Виетнам и Бангладеш и системата SWIFT.