Согласно мнению исследователей в сфере безопасности, ранняя версия вымогателя WannaCry имеет общий код с хакерской утилитой, используемой группой Lazarus.
По мере того, как специалисты исследуют массированную атаку , осуществленную с использованием программы-вымогателя WansCry в прошлую пятницу, они обратили внимание улики, которые могут связывать ее с северокорейской группой хакеров, которую винят в атаках на банки по всему миру.
Свидетельства не являются неопровержимыми и могут оказаться неубедительными. Но исследователи в сфере безопасности заметили сходство между более ранней версией WannaCry и хакерской утилитой, используемой группой Lazarus .
И хакерская атака на компанию Sony в 2014 году, и ряд недавних банковских ограблений связывают с группой, которая, как подозревают исследователи в области безопасности, работает на Северную Корею.
По-видимому, вариант программы-вымогателя WannaCry, обнаруженный в феврале, имеет общий код с хакерским инструментом, который группа Lazarus использовала в 2015 году.
Исследователь Google, Нил Мехта, заметил сходство в понедельник, что было подтверждено другими экспертами, в том числе сотрудниками компании «Лаборатория Касперского».
«На данный момент, требуются дополнительные исследования относительно более ранних версий Wanna cry», — говорится в блоге «Лаборатории Касперского». «Мы считаем, что это может дать ключ к решению некоторых тайн, окружающих эту хакерскую атаку».
В понедельник фирма Symantec также сообщила, что обнаружила улики, которые могут связать WannaCry с теневой группой. По словам Викрама Такура (Vikram Thakur), технического директора компании, ранние версии этого программного обеспечения были обнаружены на компьютерах, которые были взломаны утилитами, используемыми группой Lazarus.
«Вскоре после того, как эти утилиты были найдены на этих компьютерах, мы смогли увидеть и файлы WannaCry», — сказал он.
Тем не менее, все эти образцы программы-вымогателя WannaCry являются более ранними вариантами и отличаются от тех, которые появились в пятницу и заразили системы Windows по всему миру.
Компания Symantec изучает, могут ли новые образцы программы-вымогателя WannaCry также использовать какой-либо код, частично совпадающий с утилитой группы Lazarus, сказал Такур.
Вполне возможно, что какой-то хакер мог украсть фрагменты кода из прошлого вредоносного ПО, разработанного теневой группой.
По мнению экспертов по безопасности, после использования средств взлома, они часто просачиваются в Интернет, и это означает, что любой может их использовать. Такур сказал, что в настоящее время компания Symantec изучает, насколько распространен этот общий код.
В том случае, если он широко распространен, то вероятность того, что группу Lazarus свяжут с атакой WannaCry, серьезно сократится, сказал он.
Компьютеры, которые были заражены и вредоносным программным обеспечением группы Lazarus, и программой-вымогателем WannaCry, возможно, также были заражены другими формами вредоносного ПО, сказал Такур.
«Я думаю, что немного рано делать какие-то выводы на основе полученных данных», — сказал он.
Тем не менее, правительства стран по всему миру проводят расследование относительно того, кто стоит за атакой с использованием программы-вымогателя, имевшей место в прошлую пятницу.
«Атрибуция в этом случае может оказаться довольно сложной задачей», — сказал на брифинге в понедельник пресс-секретарь президента США по вопросам внутренней безопасности Том Боссерт. «Я не хочу сказать, что у нас нет фактов … лучшие и самые умные специалисты работают над этим».
Другие записи
© editor for Царев Евгений, 2017. | Permalink | No comment
Feed enhanced by Better Feed from Ozh