Възможно ли е Северна Корея да стои зад хакерската атака WannaCry, описана от Европол като безпрецедентен по мащабите си удар?
Заплахата беше спряна сравнително бързо, но рискът от повторен опит за изнудване чрез пробив на десетки хиляди устройства със зловреден софтуер остава напълно възможен - поне докато не бъде разкрит първоизточникът й.
Две от най-големите компании за онлайн-сигурност - Касперски Лаб и Symantec - твърдят, че разполагат с улики, които насочват към хакери, свързани с режима в Северна Корея - т.нар. Lazarus Group. И все пак доказателствата изглеждат твърде оскъдни. На практика става дума за наличието на малка част от кода на WannaCry, които съвпада с почерка на Lazarus Group.
Същата групировка беше замесена в мащабната хакерска атака срещу Sony Pictures през 2014 г., а две години по-късно организира кражбата на 81 милиона долара от Централната банка в Бангладеш.
Повторението на кода първо е забелязано от разработчика на Google Нийл Мехта. Symantec също успява да идентифицира онази част от кода на WannaCry, която съвпада със софтуера, използван при по-старите хакерски атаки на Lazarus.
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
— Neel Mehta (@neelmehta) May 15, 2017
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution
Наличието на споделен код все още не означава, че авторът е един и същ. Възможно е напълно различна групировка да е използвала умишлено създадения от Lazarus Group модел, за да заложат фалшиви улики към разследващите. Това, което прави впечатление, обаче е, че дублиращият се код е изтрит от по-новите версии на WannaCry. Според експертите на Касперски Лаб - вероятността да става дума за умишлено "нарочване" на Lazarus е твърде малка. Остава обаче възможността някой да е копирал кода, за да си спести част от работата по програмирането на вируса.
От Касперски се обърнаха към разработчиците от цял свят да помогнат при разследването, така че да се стигне по-бързо до източника на атаката. Още през април те публикуваха подробен анализ, който разкрива методите на действие на групировката.
"Това ниво на сложност не е нещо, което се среща често в света на кибер-престъпността. Изисква стриктна организация и контрол на всички нива на действие. Затова смятаме, че Lazarus не е просто поредният агресивен напреднал играч", посочваха от Касперски.
Атаките със злоумишлено криптиране на файлове срещу искане за откуп не са нещо ново - от няколко години те са се превърнали в тенденция при хакването на корпоративни клиенти или държавни служби.
ББС цитира проф. Алан Удуърд, експерт по сигурност, който обръща внимание на факта, че текстът с искане на паричен откуп на различни езици изглеждаше като машинен превод от английски. Китайската версия на съобщението от WannaCry обаче е писана от човек, който го използва като роден език.
WannaCry използва код, който е базиран на кеш от данни, откраднати от Агенцията за национална сигурност на САЩ от групировката Shadow Brokers преди няколко месеца. АНС, както и други служби по цял свят, събират различни уязвимости на операционни системи и друг софтуер, за да разработват инструменти за събиране на разузнавателна информация.
Една от тези уязвимости изтече от данните на Shadow Brokers, което я превърна в достъпна възможност за пробив през Windows за всеки хакер.
Бившият ръководител на британската телекомуникационна разузнавателна агенция Дейвид Оманд публикува отворено писмо, в което обвинява Microsoft за огромния мащаб на пораженията от WannaCry. Основният удар беше насочен срещу устройства, използващи остарялата XP-версия на операционната система, която не се поддържа с ъпдейти вече 3 години - въпреки че хиляди компании и държавни институции по света продължават да я използват.
Още през март Microsoft пусна ъпдейти за всички по-нови версии на Windows, които решават проблема с уязвимостта, използвана от WannaCry. Такъв фикс за XP обаче беше пуснат едва на 14 май - ден след като атаката вече беше поразила десетки хиляди устройства.
Но "Касперски" има общо с ГРУ
Ей, гнусната пропаганда не спира. Северна Корея няма кфо да яде. Северна Корея е замесена в разработването на вирус успял да внесе шок и ужас в маса западни компании. Последно кое от двете е? Да ви вземе дявол и пропагандната машина
>Последно кое от двете е? И двете са. Точно като Русия, КНДР е бедна държава с хилава икономика, слаба наука и малко ресурси (не, не говоря за неизползваните природни). В този контекст всички подривни дейности, за които се изискват единствено компютри и интернет - хакерство, разпространяване на пропаганда и дезинформация - са ужасно примамливи, защото са евтини и достъпни. Конкретно, няма никакво противоречие между това да не можеш да изхранваш народа си и същевременно да поддържаш стадо от няколкостотин хакери - такава програма е брутално евтина, а КНДР показва, че дори може да поддържа и ракетна програма. Не много успешна, но ти гарантирам, че цената на само една от 8те ракети, които КНДР изстреля тази година, многократно надвишава цената на обучаването и поддържането на малко стадо хакери.
Айдееее.Почна се.Най удобният виновник беше разкрит.И Де Овинчо ни го доказа.В момента тече заплахата с Венецуела.Световният Диктатор ни плаши с вариант Сирия.
deowin, малко е трудна за вярване теорията, че изостанала държава като Северна Корея може да подържа хакери с такива способности. Не става въпрос за пари. Пари бол, както казваш - да издържаш едно "стадо" от програмисти не е голяма философия, че дори разни африкански държави биха си го позволили. Въпроса е технологичното развитие - дори една България, вярно не сме цъфнали и вързали спрямо Германия, но спрямо Корея сме си 6 точки... Та дори ние не можем да направим никакви IT магии, всичкото е cheap manual labooor, аутсорс на low+value addded tasks, и то само защото с 1600€ заплата - колкото на дюнерджия в Германия си подсигуряваш full stack developer в БГ. Та дори нашия развит сектор (развит в сравнение със Северна Корея), не е способен да предложи продукт различен от евтина масовка - малко трудно идва да вярваш, че пещерняците от Северна Корея са го постигнали... Противоречието е ТВЪРДЕ голямо - ако могат да постигнат нещо такова са много далеч от пещерняци, ако пък не могат - защо тях обвиняват? Технологичен прогрес не се постига с хвърляне на няколкостотин долара месечно в кесията на 200-тина жълтури...
>Въпроса е технологичното развитие Хакерството не е особено висококвалифицирана работа, особено пък хакерство на нивото на WannaCry - купен exploit изтекъл от NSA + супер дилетантски написан payload. Нужните умения са пренебрежимо по-високи от тези на стандартните и многобройни script kiddies, които също се водят "хакери". Просто днешните script kiddies се занимават доста с randomware, в която област няма нито един наистина елегантен и професионално изпипан продукт. Съвсем не казвам, че няма високо изкуство в хакерството - има, но за целите на КНДР и Русия такова изобщо не е необходимо. Колко трудна, мислиш, е работата на стадата руски тролове? Колко трудно е да регистрираш "новинарски" сайт и да публикуваш там десетки зле скалъпени и неграмотно написани статии? Колко трудно е да плащаш по $5/ден на китайци да правят FB профили и да цъкат лайкове по цял ден? Дори това, което правят Fancy Bear не е кой знае колко сложно технологически. Определено не е на нивото на DarkHotel (южнокорейски), атаката за кражба на сорс код от Google през 2010 (китайска), или Stuxnet (САЩ+Израел), например. >Технологичен прогрес не се постига с хвърляне на няколкостотин долара месечно в кесията на 200-тина жълтури Напълно съгласен, но в случая изобщо не говорим за технологичен прогрес - постиженията на севернокорейските "хакери" като WannaCry представляват технологичен прогрес точно толкова, колкото би било научно постижение ти да откраднеш от близкия строеж кофа карбид и да го изсипеш в нечий питеен резервоар. Да, вредата би била голяма, но трудът, нужната квалификация и приносът към научния прогрес биха били нищожни.
deowin, смятам че подценяваш сложността на подобна операция. Не е само разработване, но и разпространение и какво ли още не. Има няколко неща дето трябва да повдигат червени флагчета. Първо, ако е толкова лесно - има сто и една държави, развити много повече от северна корея. От С.Корея има дори фирмички с повече IT ресурс. Само от Балканския полусотров се сещам за 3 държави с значително повече ресурс, където opportunistic assholes не липсват. Второ, откупа от порядъка на $60к, събран от "хакерите". Ясно е, че който е платил $300($600) на групичката - инфомрацията му струва в пъти повече от тази сума. Не е логично, група хакери, ако са правителствени сили и целта им е тотален хаос да се задоволят с 50% годишната заплата на читав програмист. Трето, да обвиним най-изостаналата държава за технологична атака - изглежда все едно в гимназията да се изпърдя с извинение и да обвиня срамежливия затворен задръстеняк..
>смятам че подценяваш сложността на подобна операция Смятам, че като специалист в областта, имам достатъчно ценз за да мога да преценя доста добре сложността на подобна операция, особено при всичката техническа информация за атаката, която беше публикувана. >Не е само разработване, но и разпространение и какво ли още не. "Какво ли още не"? Ти, обаче, не звучи като да разбираш особено добре тази материя. Конкретно, разходи по "разпространение" може да са нетривиални, когато говориш за разпространение на продукцията си от домати, но не и в ИТ света, и особено не когато говорим за разпространяване на phishing чрез мейл спам - за тази цел има десетки, ако не стотици, доставчици на тази безкрайно евтина услуга (стандартната цена е около $10/милион). >да обвиним най-изостаналата държава за технологична атака - изглежда все едно в гимназията да се изпърдя с извинение и да обвиня срамежливия затворен задръстеняк Глуповатата аналогия допълнително потвърждава, че познанията ти по темата не по-големи, отколкото на произволен лаик.