В хакерската атака с WannaCry има севернокорейска следа, твърдят експерти
Експерти от сферата на киберсигурността обявиха, че са открили потенциална връзка между Северна Корея и глобалната кибератака, която от петък насам засегна десетки хиляди организации в цял свят, предадоха "Ройтерс" и БТА.
Нийл Мехта, софтуерен инженер от "Гугъл", публикува онлайн кодове, показващи известни сходства между вируса WannaCry, който зарази 300 000 компютъра в 150 страни, и друга серия пиратски атаки, приписвани на Пхенян. Други експерти бързо заключиха, че тези улики, макар да не са напълно категорични, доказват, че Северна Корея може да е замислила тази кибератака.
Засега са необходими повече изследвания на по-стари версии на WannaCry, преди да се правят каквито и да било заключения, отбеляза фирмата за киберсигурност "Лаборатория Касперски". Смятаме, че това може да даде ключа към някои загадки около тази атака. Едно нещо е сигурно: откритието на Мехта е най-значимата улика досега за произхода на WannaCry, допълва "Касперски".
Според фирмата приликите в кодовете сочат към групата киберпирати "Лазарус", за която се смята, че стои зад атаката срещу филмовата компания "Сони пикчърс" от 2014 г. Тогава
мнозина експерти приписаха този удар на севернокорейски хакери,
които отмъщавали за филм на "Сони", осмиващ лидера на КНДР Ким Чен-ун. Групата е заподозряна и за атаки срещу централната банка на Бангладеш (при която задига близо 81 милиона долара) и други институции от международната финансова система. Фирмата за киберсигурност напомня и че дни след атаката срещу централната банка много малко следи водели към "Лазарус груп", но с натрупване на доказателства тя "с висока степен на увереност" се е очертала като извършител.
Мащабът на операциите на "Лазарус груп" е шокиращ, продължават от "Касперски". "Тази група е много активна от 2011 г. "Лазарус" е фабрика за вируси, която произвежда нови и нови модели чрез множество независими доставчици", посочват експертите.
От "Симантек", друга водеща компания, която предлага продукти за киберсигурност, потвърждават позицията на "Касперски" за съвпадение в кода. "Интезер лабс", израелска фирма за киберсигурност, също смята, че Северна Корея може да е замесена. Нейният изпълнителен директор Итай Тевет написа в "Туитър", че потвърждава севернокорейския произход на вируса WannaCry, и то не само заради работата на "Лазарус", и обеща скоро да предостави повече информация.
Експертът по сигурността проф. Алън Удуърд, цитиран от Би Би Си, отбелязва друго – че времевият маркер в оригиналния код на WannaCry съвпада с часовата зона, използвана в Китай. Докато текстът, искащ пари от притежателите на заразените машини, изглежда като машинен превод от английски, докато китайски сегмент в него, изглежда, е написан от човек, за когото езикът е майчин. Смята се, че е действала от името на Пхенян, но от територията на Китай, припомня Би Си Си.
Сходствата в кода обаче
не сочат непременно към един и същ хакер -
"Лазарус груп" е известна с това, че използва инструменти, базирани на отворен код. "Трябва да внимаваме, тъй като съществува възможността това да е просто съвпадение на кодовете от източник, копиран от две различни групи", казва за "Форбс" Дариън Хъс от компанията за киберсигурност "Прууфпойнт" (Proofpoint). Напълно е възможно подобни кодове да се заемат например от форум, в който различни групи, заминаващи се с киберпрестъпления, споделят инструменти.
Специалисти предупредиха за опасност безпрецедентната кибератака, която, изглежда, вече е овладяна, да се повтори, посочва "Франс прес". Програмата, използвана от пиратите, вече "се разпознава от средствата за киберсигурност", заяви Мишел ван ден Берге, генерален директор на "Оранж сибердефанс", филиал за информационна сигурност на френската групировка "Оранж". Но "идва втора вълна с варианти на вируса - мнозина ще използват източника, за да произвеждат варианти", предупреди той пред АФП.
Според него е още рано да се съди колко са пострадалите и данните на Европол от неделя за 200 000 потребители - жертви на атаката, може да нараснат още. "Ситуацията в Европа изглежда стабилна", заяви в понеделник за АФП говорител на Европол. По думите му много специалисти по сигурността в интернет явно са си свършили работата добре през уикенда и са задействали софтуер за сигурност.
Също така в понеделник шефът на "Майкрософт" обвини правителствата, че държат данни за софтуерни уязвимости, които могат да бъдат откраднати и използвани от хакери по целия свят. Том Босърт, съветник на американския президент Доналд Тръмп по въпросите на националната сигурност, отвърна, че не става дума за "инструмент, разработен от Националната агенция за сигурност, за да са се събират данни за откуп. Това е инструмент, разработен от отговорни страни, потенциални престъпници или чужди държави, разработен по начин, който позволява да се изпращат фишинг имейли и да се причинява заразяване и заключване на устройства.