Za WannaCry stoi Kim Dzong Un?

W ransomware WannaCry znaleziono tropy, świadczące o tym, że atak mógł zostać przygotowany przez cyberprzestępczą grupę Lazarus. Dokładniejsza analiza wskazuje również na powiązania złośliwego kodu z północnokoreańskim rządem.

Znalezione wspólne fragmenty kodu dla wcześniejszych programów opracowanych przez grupę Lazarus oraz robaka WannaCry.

WannaCry i starsze złośliwe oprogramowanie grupy Lazarus mają punkty wspólne

Analityk Google, Neal Mehta był pierwszą osobą, która dostrzegła, że korelacje pomiędzy wcześniejszymi szodliwymi programami, opracowanymi przez cyberprzestępczą grupę Lazarus, a wczesnym wariantem robaka WannaCry, znacznie wykraczają poza typowe wspólne części kodu. Do takich wniosków doszli m.in. badacze z zespołu GReAT firmy Kaspersky Lab.


CHIP RAPORT o ataku WannaCry [LINK]


Eksperci podkreślają, że istnieje bardzo duże prawdopodobieństwo, że kompilacja robaka WannaCry z lutego (wczesna wersja, nie użyta w ostatnim ataku) została przygotowana przez tych samych autorów. Do porównania użyto kodu zagrożenia z 2015 roku, którego powstanie jest przypisywane przestępcom z Lazarusa. Co więcej jeden z programistów odpowiedzialnych za tworzenie złośliwego kodu, od dłuższego czasu śledzony przez ekspertów z Kaspersky Lab jest powiązany zarówno z grupą Lazarus, jak i z północnokoreańskim rządem. Analitycy zastrzegają, że nie ma mimo wszystko pewności, że WannaCry został faktycznie opracowany przez to środowisko.

Lazarus to formacja cyberprzestępcza, wyróżniająca się dużą skalą działania, precyzyjnością i intensywnością ataków, a także wysoką skutecznością prowadzonych kampanii. Aktywność grupy jest znana ekspertom co najmniej od 2011 roku. Jej członkowie są odpowiedzialni za liczne ataki na duże instytucje finansowe, organizacje rządowe i media. Ich ofiarą padł w 2016 roku m.in Centralny Bank Bangladeszu, czy studio Sony Pictures w roku 2014.

Analitycy zastrzegają, że przestępcy często stosują techniki maskowania i mylnych tropów, umieszczając w kodzie fragmenty, które mają odsuwać od nich podejrzenia. W tym jednak przypadku na niekorzyść grupy Lazarus działa fakt, że w najnowszej postaci WannaCry ślady, prowadzące do Lazarusa, usunięto celowo.