賽門鐵克稱,朝鮮Lazarus黑客組織“極有可能”是全球性WannaCry勒索軟件攻擊背后黑手。
對(duì)WannaCry勒索軟件攻擊所用工具和基礎(chǔ)設(shè)施的分析顯示,該威脅與朝鮮黑客組織Lazarus關(guān)系緊密。
5月12日的全球大爆發(fā),將全世界的目光都集中到了WannaCry身上,但該威脅其實(shí)早在之前就已活躍。至今為止,超過(guò)40萬(wàn)臺(tái)電腦被WannaCry襲擊——盡管得益于攻擊開(kāi)始后不久“斷路開(kāi)關(guān)”域名即被注冊(cè),不是所有被襲電腦都被植入勒索軟件。
然而,2月出現(xiàn)的首例WannaCry變種,其與Lazarus組織之間的可能紐帶,卻早已被安全研究人員發(fā)現(xiàn)——雖說(shuō)其間聯(lián)系可能稍微有點(diǎn)牽強(qiáng)。
朝鮮已斷然否認(rèn)涉嫌該勒索軟件攻擊。
Lazarus黑客組織(又名BlueNoroff)并非無(wú)名之輩,之前就已犯下多起著名黑客事件,包括2014年震驚全球的索尼影業(yè)數(shù)據(jù)泄露事件,以及2016年從紐約聯(lián)邦儲(chǔ)備銀行盜取孟加拉央行賬戶8100萬(wàn)美元的網(wǎng)絡(luò)大劫案。最近,卡巴斯基宣稱,該組織是對(duì)銀行最嚴(yán)重的威脅。
如今,賽門鐵克表示,在感染了WannaCry的計(jì)算機(jī)上,發(fā)現(xiàn)了與該組織相關(guān)聯(lián)的工具。在5月12日的攻擊爆發(fā)之前,該勒索軟件于2、3、4月份陸續(xù)被用于一系列小型針對(duì)性黑客活動(dòng)中,而且各變種十分相似,只有傳播方式不太一樣(最近的版本采用了NSA的永恒之藍(lán)漏洞利用)。
賽門鐵克宣稱,這些攻擊在工具、技術(shù)和基礎(chǔ)設(shè)施方面,與之前的Lazarus攻擊呈現(xiàn)出大量的共性,讓人高度懷疑Lazarus就是WannaCry肆虐的幕后黑手。
但除此之外,WannaCry攻擊并沒(méi)有民族國(guó)家黑客行動(dòng)的標(biāo)志,反而更像是典型的網(wǎng)絡(luò)犯罪活動(dòng)。
在5月12號(hào)的大規(guī)模爆發(fā)之前,WannaCry使用被盜憑證在被感染網(wǎng)絡(luò)上傳播,并沒(méi)有使用被泄的永恒之藍(lán)漏洞利用。
2月份的初攻擊之后,專家在受害者網(wǎng)絡(luò)中發(fā)現(xiàn)了與Lazarus有關(guān)的3個(gè)惡意軟件,包括Volgmer木馬和2個(gè)Destover后門的變種(索尼影業(yè)攻擊案中所用的磁盤清除工具)。
而且,研究人員還發(fā)現(xiàn),在3月和4月的攻擊中,WannaCry使用了Alphanc木馬進(jìn)行投放分發(fā),而該惡意程序是與Lazarus有關(guān)的Duuzer后門的一個(gè)改良版本。
賽門鐵克的發(fā)現(xiàn)還包括Bravonc后門——與WannaCry和Fakepude信息小偷(Lazarus相關(guān))共享類似代碼混淆手段的惡意程序,以及Bravonc木馬——所用C2的IP地址與Duuzer和Destover相同,而這兩者同樣與Lazarus相關(guān)。
最后,WannaCry勒索軟件之前的版本,與Lazarus相關(guān)Contopee后門,共享代碼。
2月的WannaCry攻擊只襲擊了一家公司,但在初始感染之后,僅僅2分鐘之內(nèi),就波及了100多臺(tái)電腦。該攻擊還使用了口令轉(zhuǎn)儲(chǔ)工具M(jìn)imikatz的一個(gè)變種,另有一個(gè)工具使用被盜口令在其他網(wǎng)絡(luò)計(jì)算機(jī)上拷貝并執(zhí)行WannaCry。
除了這些工具,受害者網(wǎng)絡(luò)中的另一臺(tái)機(jī)器上,安全研究人員還發(fā)現(xiàn)了其他5個(gè)惡意軟件,其中3個(gè)與Lazarus有關(guān):Volgmer和Destover的2個(gè)變種。
3月底,WannaCry新樣本浮現(xiàn),5家公司被感染。這波攻擊使用了Alphanc和Bravonc后門,前者被用于釋放WannaCry到至少兩家受害者的機(jī)器上。Alphanc據(jù)說(shuō)是Duuzer的一個(gè)進(jìn)化版——索尼影業(yè)攻擊所用清除工具Destover的一個(gè)亞種。
這些攻擊的目標(biāo)公司涵蓋多個(gè)領(lǐng)域和地區(qū),但賽門鐵克在3月和4月被感染的計(jì)算機(jī)上,找到了2月攻擊中所用工具的證據(jù)。
Bravonc木馬被用于向其他至少2家受害公司投放WannaCry。該惡意軟件通聯(lián)的C2服務(wù)器IP地址,與Destover和Duuzer樣本所用的一致,這在 Blue Coat 去年的報(bào)告中也有提及。
賽門鐵克解釋道:“永恒之藍(lán)的引入,將WannaCry從只能用于少量針對(duì)性攻擊的危險(xiǎn)威脅,轉(zhuǎn)化成了近年來(lái)最致命的惡意軟件之一。它導(dǎo)致了大面積的破壞和中斷,不僅僅是被感染的公司,還有那些因?yàn)橐鲕浖露坏貌粫簳r(shí)離線的公司。”
賽門鐵克還提到,用于加密內(nèi)嵌到WannaCry釋放器中ZIP文件的口令,各版本間也存在相似性(wcry@123、wcry@2016和WNcry@2ol7),充分表明它們出自同一個(gè)黑客團(tuán)伙。而且,初始版本中使用的少量幾個(gè)比特幣地址,及其有限的傳播,也暗示了這不是網(wǎng)絡(luò)犯罪團(tuán)伙間共享的勒索軟件家族。
除了WannaCry傳播工具中的共性,WannaCry本身與Lazarus之間也有很多聯(lián)系。該勒索軟件與Lazarus之前用過(guò)的Backdoor.Contopee共享了部分代碼。Contopee的一個(gè)變種采用的自定義SSL實(shí)現(xiàn)和加密套件,在WannaCry中也有使用。兩個(gè)樣本中的加密套件都采用了同一套含75個(gè)可選密碼的方案(OpenSSL的方案是從300多個(gè)不同密碼中進(jìn)行選擇)。
鑒于大量工具、代碼和基礎(chǔ)設(shè)施的使用都與Lazarus相關(guān),賽門鐵克斷定,早期WannaCry攻擊提供了充分的證據(jù)證明該勒索軟件源自Lazarus。該公司還指出,永恒之藍(lán)漏洞利用的泄露,正是將WannaCry的能力大幅提升的罪魁禍?zhǔn)住?/p>
京公網(wǎng)安備 11010502049343號(hào)