WannaCry勒索软件攻击与朝鲜有关？

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

英国国家网络安全中心（NCSC）据报将WannaCry恶意软件归因于与朝鲜有关联的黑客团队——拉撒路集团（Lazarus Group）。这一结论是基于NCSC领导的国际调查结果，该调查在最近几周内完成。

WannaCry：全球性的网络灾难

今年5月，WannaCry勒索软件在全球范围内肆虐，影响了包括英国国民健康服务（NHS）在内的众多组织。这种恶意软件利用了一个名为EternalBlue的漏洞，这个漏洞最初是由美国国家安全局（NSA）发现的，但后来被一个名为“影子经纪人”（The Shadow Brokers）的匿名实体盗取并公开发布。EternalBlue允许攻击者在Windows计算机之间跳跃传播，绕过安全约束，这使得WannaCry能够迅速蔓延，短时间内瘫痪整个组织。

拉撒路集团：背后黑手？

根据网络安全公司SecureWorks的分析，WannaCry的一个早期版本“Wanna Decryptor v1.0”与一种名为Brambul的恶意软件共享代码，而Brambul被认为是由拉撒路集团使用的。此外，同样的代码重叠也出现在针对波兰银行监管机构KNF的另一次攻击中，这次攻击同样被归因于拉撒路集团。

拉撒路集团最著名的攻击之一是2014年对索尼影业的大规模黑客攻击，当时正值该公司计划发行一部以刺杀金正恩为题材的喜剧电影《采访》（The Interview）。

从伪造美元到勒索软件

不同于其他一些国家级别的黑客活动，如与俄罗斯有关的APT28（又称Fancy Bear），拉撒路集团的许多活动都围绕着网络犯罪，追求直接的经济利益。在数字时代之前，朝鲜就被指控经常伪造美元纸币；现在，它可能正在构建恶意软件以收取赎金。WannaCry并非首次与拉撒路集团和朝鲜联系在一起的勒索软件，此前韩国一家连锁超市也曾遭到类似攻击。

然而，WannaCry的传播方式却与众不同。有人推测，这次攻击可能是意外泄露的结果，因为该软件包含了一些对于高级勒索软件来说不常见的特性，比如硬编码的支付地址而非每个受害者独有的地址，以及一个通用的“紧急停止开关”，当该开关被激活时，可以阻止软件自我复制。

威胁情报公司Recorded Future指出：“朝鲜网络行动者并不疯狂或非理性，他们只是比大多数其他情报服务机构拥有更广泛的操作范围。这个范围包括广泛的犯罪和恐怖活动，例如非法毒品制造、伪钞生产、爆炸事件、暗杀企图等。”

“使用勒索软件来筹集资金符合朝鲜不对称军事战略和‘自筹资金’政策，并且处于其情报服务机构的广泛操作权限之内。”Recorded Future补充道。

归因难题

代码重叠是将网络犯罪归因于不同组织和实体的关键指标之一。如果两种软件使用相同的代码片段来实现它们的目标，这可能意味着它们有共同的作者。但是，即使有了这样的线索，归因仍然是一个复杂的过程，它既是科学也是艺术。虽然有可能识别出多个恶意软件类型可能是同一作者的作品，但要将该作者追溯到特定的位置或指挥结构是非常困难的。

总之，尽管存在一定的证据指向朝鲜，但确定WannaCry攻击的确切来源仍然充满挑战。随着技术的进步和国际合作的加强，我们有望更好地理解和防范未来的网络威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：WannaCry勒索软件攻击与朝鲜有关？