Эксперты представили новые сведения о WannaCry на основе анализа метаданных.
Наибольшей загадкой вымогательского ПО WannaCry является его создатель. В данном вопросе ИБ-эксперты разошлись во мнениях. Symantec и «Лаборатория Касперского» связывают WannaCry с северокорейской хакерской группировкой Lazarus (на основе фрагмента кода), а в Flashpoint считают , что его автором может быть китаец (на основе лингвистического анализа уведомления с требованием выкупа), не владеющий корейским языком (корейская версия требования выкупа была написана с ошибками).
Разобраться в том, кто стоит за WannaCry и что предшествовало событиям 12 мая, попытались эксперты подразделения кибербезопасности ElevenPaths испанской телекоммуникационной компании Telefonica, также ставшей жертвой шифровальщика. Свои исследования специалисты проводили на основе анализа метаданных.
По словам главы ElevenPaths Сержио де лос Сантоса (Sergio de los Santos), автор WannaCry даже не догадывается, как много о нем могут рассказать метаданные. К примеру, в полях автора и оператора в RTF-файле, используемом для записки с требованием выкупа, указано Messi – явная отсылка к футболисту Лионелю Месси.
Родным языком для автора WannaCry является корейский. Именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. «Ломаный корейский указывает на попытку скрыть свое происхождение, а значит, он (автор WannaCry – ред.) из Кореи. Он забыл сменить язык по умолчанию в Word. Если вы англичанин и хотите это скрыть, то пишете на ломаном английском. Любой может так сделать. Но можно забыть сменить язык по умолчанию. Он допустил ошибку, забыв поменять язык по умолчанию», - отметил Сантос.
На основании метаданных исследователям удалось установить события, предшествующие волне атак WannaCry. По их словам, операция началась 27 апреля текущего года, когда были созданы растровое изображение фона рабочего стола и readme-файл r.wnry. 9 мая был создан zip-файл с инструментами для подключения к Tor для осуществления платежей. Этот файл был добавлен в файловую систему 9 мая в 16:57 по времени страны, где находился разработчик. На следующий день были созданы еще один домен в зоне .onion и биткойн-кошелек.
11 мая разработчик внес изменения в растровое изображение и добавил файлы в защищенный паролем zip-файл. 12 мая в 2:22 по времени страны, где находился разработчик, в zip-файл был добавлен исполняемый файл, и полезная нагрузка была готова. Учитывая время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что вирусописатель находился в часовом поясе UTC +9.
Ладно, не доказали. Но мы работаем над этим