Bizonyítékot találtak IT-biztonsággal foglalkozó kutatók, hogy mégiscsak államilag szponzorált támadás volt a WannaCry elmúlt hétvégén lezajlott ámokfutása. Mivel szerte a világon szedte áldozatait a ransomware, 150 országban végzett pusztítást, ezért korábban arra az álláspontra helyezkedett a szcéna, hogy valószínűleg „csak” valemilyen szervezett bűnözői csoport állhat mögötte. Nos, ez nem igaz.

Folyik a nyomozás

Neel Mehta, a Google biztonsági kutatója (fenti képünkön) fedezte fel azt a számítógépes kódot a WannaCry malware egyik korai változatában, ami gyakorlatilag egy az egyben megegyezik a Lazarus Group nevű hackercsoport által használttal. Utóbbi pedig egyértelműen az észak-koreai rezsimhez köthető csoportosulás. Mehta egy 2015-ben felfedezett, a Lazarus Group által használt hátsó kapuban és a napokban hírhedtté vált zsarolóprogramban azonosította a megfelelő kódrészleteket.

Egészen pontosan a WannaCry egy korábbi verziójában találhatók az inkriminált sorok; ezeket a múlt hét végén terjedő digitális kártevőből már eltávolították. Éppen ezért nem lehet száz százalékos biztonsággal kijelenteni, hogy nem csupán csali-e a húzás, hogy félrevezessék a kutatókat a ransomware származását illetően.

A Kaspersky Lab az új információ birtokában úgy nyilatkozott, hogy további kutatásokra van szükség. Jelenleg azt gondolják, hogy a WannaCry régebbi változatának vizsgálata hozhat további eredményt, éppen ezért tartják olyan fontosnak Mehta felfedezését a több mint 300 ezer számítógépet megtámadó zsarolóvírus eredetével kapcsolatban.

Rejtélyes szálak

A hackerek 300 dollárnyi bitcoint követelnek egy-egy áldozattól a kódolt állományaik titkosításának feloldásáért. Azért nyúltak a kriptovaluta eszközéhez, mert ezzel gyakorlatilag követhetetlenné válik a pénz útja, azaz a pénz mozgásának vizsgálatával nem lehet utolérni a hackereket. A fizetésre a támadók mindössze 72 órát adnak, ha ennyi idő alatt nem fizet az áldozat, akkor megduplázhatják az összeget. Néhány nappal később pedig véglegesen zárolttá válnak a file-ok.

Becslések szerint, ha minden megtámadott gépen sikerrel járnának a támadók, akkor összesen akár 1 milliárd dollárt is kaszálhatnának. Szerencsére a zsarolásnak a legtöbben nem engednek, vagy azért, mert rendelkeznek biztonsági másolattal, vagy azért, mert nem engedhetik meg maguknak a kért összeg kifizetését.

Fontos megjegyezni, hogy a sérülékenységet – melyet kihasználva terjedhetett a WannaCry - már márciusban javította a Microsoft, a szükséges patch jó ideje elérhető volt. Ennek ellenére sok felhasználó nem frissítette eszközét, holott Redmond még az extrém hosszúra nyújtott terméktámogatású Windows XP-re – ennek supportja majdnem pontosan 3 éve járt le – is elkészítette a szükséges foltozást.

A vállalat éppen ezért úgy véli, hogy a felelősség elsősorban nem is őket, hanem az amerikai hírszerzési ügynökségeket terheli. Brad Smith, a Microsoft vezető tanácsadója (fenti képünkön) ébresztő hatásúnak tartja a támadást, szerinte a WannaCry arra irányítja rá a figyelmet, hogy a titkolózás és a felfedezett sérülékenységek rejtett gyűjtése és kiaknázása helyett inkább együtt kellene működnie az ezeket a biztonsági réseket felfedező ügynökségeknek a szoftverfejlesztőkkel. További részletek itt.

Pénzhez jutni, (szinte) bármi áron

Nem ismeretlen szereplő a kibertámadások vádlottjainak virtuális padján Észak-Korea. A sztálinista rezsim nagyon komoly kiberháborús arzenállal rendelkezik, az ország méretéhez, lakosságszámához és gazdasági teljesítményéhez képest a legnagyobbal; olyan államokkal is felveszi a versenyt, mint Kína vagy az USA.
 

Észak-Korea céljai között nem csak a károkozás szerepel, hanem a pénzszerzés is. Mivel az ország nemzetközi kereskedelmi lehetőségei a folyamatos szankciók miatt erősen limitáltak (leszámítva a rakétatechnológiát, szinte semmilyen exporttermékkel nem rendelkeznek), ezért minden lehetőséget meg kell ragadniuk nemzetközileg elfogadott valutához való hozzájutás érdekében (jó példa erre a tavaly bezárt keszongi ipari park).

A rezsim egyik legismertebb ilyen jellegű húzása a 2014-ben Sony-t ért támadás volt, melyről később egyértelműen bebizonyosodott, hogy a távol-keleti ország hackerei állnak mögötte (bővebben itt olvashat a történtekről).