5月16日消息 據(jù)福布斯報道，電腦勒索病毒肆虐全球，谷歌和卡巴斯基安全實驗室等多個機構(gòu)經(jīng)過研究發(fā)現(xiàn)，幕后黑手可能來自朝鮮，線索隱藏在代碼中。

谷歌安全研究員Neel Mehta發(fā)布推文，將兩個惡意軟件樣本進行對比。其一便是正在肆虐全球的WannaCry勒索病毒，另一段樣本出自神秘黑客組織“拉撒路組”（Lazarus Group）之手。有證據(jù)顯示，拉撒路組與2014年索尼黑客事件以及孟加拉國SWIFT銀行網(wǎng)絡攻擊事件有關(guān)聯(lián)，兩起案件分別造成索尼多部未上映電影資源和商業(yè)信息遭泄露，以及孟加拉國中央銀行失竊8100萬美元。根據(jù)多家安全公司的分析，拉撒路組來自朝鮮。

卡巴斯基實驗室和網(wǎng)絡安全公司Proofpoint的研究員對Mehta提供的對比進行仔細調(diào)查。

研究人員發(fā)現(xiàn)，WannaCry中的一部分代碼與一個名叫Contopee的惡意軟件100%一致，而后者正是拉撒組慣用的惡意軟件。兩個惡意軟件使用相同的隨機數(shù)生成0到75之間的隨機數(shù)，用于對劫持數(shù)據(jù)的加密以及通過混淆避免安全工具的檢測。

卡巴斯基實驗室稱發(fā)現(xiàn)同源代碼是查找“WannaCry起源的最重要線索”。卡巴斯基全球研究和分析團隊主管Costin Raiu對福布斯表示，Mehta展示的惡意軟件幾乎與此前孟加拉國銀行攻擊中出現(xiàn)過的惡意代碼一模一樣。不過他也表示還需要更多研究才能下結(jié)論。

阿聯(lián)酋網(wǎng)絡安全公司創(chuàng)始人Matthieu Suiche認同病毒可能與拉撒路組存在聯(lián)系，并指出犯罪目標和手法的一致性。

這些代碼的獨特性也引人遐想。數(shù)據(jù)對比顯示，除了拉撒路組，再沒有其他任何組織使用過同樣的代碼。一位要求保持匿名的研究員稱，他將樣本在目前可以訪問的大型病毒庫中進行對比，幾乎沒有匹配。這使得拉撒路組同本次勒索病毒的爆發(fā)之間存在關(guān)聯(lián)的可能性更大。

賽門鐵克關(guān)注拉撒路組多年。研究人員稱WannaCry使用了拉撒路組慣用的Web加密形式。賽門鐵克技術(shù)總監(jiān)Vikram Thakur自周五一來便對病毒進行密切關(guān)注，指出攻擊者目的似乎僅是為了造成網(wǎng)絡混亂，而非獲得經(jīng)濟利益。

下結(jié)論為時過早

不過研究人員并不急于下結(jié)論，稱這些線索有可能是攻擊者事先埋下用以誤導調(diào)查。相同的代碼并不能確定來自同一個黑客，也有可能是攻擊者借用了拉撒路組的代碼并實施攻擊。安全專家指出，有大約2000個惡意軟件樣本在一些地下論壇上被秘密分享，網(wǎng)絡犯罪分子在這些論壇上分享黑客技術(shù)。