赛门铁克:“高度怀疑”WannaCry的幕后黑手是朝鲜

作者:星期四, 五月 25, 20170
分享:

赛门铁克称,朝鲜Lazarus黑客组织“极有可能”是全球性WannaCry勒索软件攻击背后黑手。

对WannaCry勒索软件攻击所用工具和基础设施的分析显示,该威胁与朝鲜黑客组织Lazarus关系紧密。

5月12日的全球大爆发,将全世界的目光都集中到了WannaCry身上,但该威胁其实早在之前就已活跃。至今为止,超过40万台电脑被WannaCry袭击——尽管得益于攻击开始后不久“断路开关”域名即被注册,不是所有被袭电脑都被植入勒索软件。

然而,2月出现的首例WannaCry变种,其与Lazarus组织之间的可能纽带,却早已被安全研究人员发现——虽说其间联系可能稍微有点牵强。

朝鲜已断然否认涉嫌该勒索软件攻击。

Lazarus黑客组织(又名BlueNoroff)并非无名之辈,之前就已犯下多起著名黑客事件,包括2014年震惊全球的索尼影业数据泄露事件,以及2016年从纽约联邦储备银行盗取孟加拉央行账户8100万美元的网络大劫案。最近,卡巴斯基宣称,该组织是对银行最严重的威胁。

如今,赛门铁克表示,在感染了WannaCry的计算机上,发现了与该组织相关联的工具。在5月12日的攻击爆发之前,该勒索软件于2、3、4月份陆续被用于一系列小型针对性黑客活动中,而且各变种十分相似,只有传播方式不太一样(最近的版本采用了NSA的永恒之蓝漏洞利用)。

赛门铁克宣称,这些攻击在工具、技术和基础设施方面,与之前的Lazarus攻击呈现出大量的共性,让人高度怀疑Lazarus就是WannaCry肆虐的幕后黑手。

但除此之外,WannaCry攻击并没有民族国家黑客行动的标志,反而更像是典型的网络犯罪活动。

在5月12号的大规模爆发之前,WannaCry使用被盗凭证在被感染网络上传播,并没有使用被泄的永恒之蓝漏洞利用。

2月份的初攻击之后,专家在受害者网络中发现了与Lazarus有关的3个恶意软件,包括Volgmer木马和2个Destover后门的变种(索尼影业攻击案中所用的磁盘清除工具)。

而且,研究人员还发现,在3月和4月的攻击中,WannaCry使用了Alphanc木马进行投放分发,而该恶意程序是与Lazarus有关的Duuzer后门的一个改良版本。

赛门铁克的发现还包括Bravonc后门——与WannaCry和Fakepude信息小偷(Lazarus相关)共享类似代码混淆手段的恶意程序,以及Bravonc木马——所用C2的IP地址与Duuzer和Destover相同,而这两者同样与Lazarus相关。

最后,WannaCry勒索软件之前的版本,与Lazarus相关Contopee后门,共享代码。

2月的WannaCry攻击只袭击了一家公司,但在初始感染之后,仅仅2分钟之内,就波及了100多台电脑。该攻击还使用了口令转储工具Mimikatz的一个变种,另有一个工具使用被盗口令在其他网络计算机上拷贝并执行WannaCry。

除了这些工具,受害者网络中的另一台机器上,安全研究人员还发现了其他5个恶意软件,其中3个与Lazarus有关:Volgmer和Destover的2个变种。

3月底,WannaCry新样本浮现,5家公司被感染。这波攻击使用了Alphanc和Bravonc后门,前者被用于释放WannaCry到至少两家受害者的机器上。Alphanc据说是Duuzer的一个进化版——索尼影业攻击所用清除工具Destover的一个亚种。

这些攻击的目标公司涵盖多个领域和地区,但赛门铁克在3月和4月被感染的计算机上,找到了2月攻击中所用工具的证据。

Bravonc木马被用于向其他至少2家受害公司投放WannaCry。该恶意软件通联的C2服务器IP地址,与Destover和Duuzer样本所用的一致,这在 Blue Coat 去年的报告中也有提及。

赛门铁克解释道:“永恒之蓝的引入,将WannaCry从只能用于少量针对性攻击的危险威胁,转化成了近年来最致命的恶意软件之一。它导致了大面积的破坏和中断,不仅仅是被感染的公司,还有那些因为要做软件更新而不得不暂时离线的公司。”

赛门铁克还提到,用于加密内嵌到WannaCry释放器中ZIP文件的口令,各版本间也存在相似性(wcry@123、wcry@2016和WNcry@2ol7),充分表明它们出自同一个黑客团伙。而且,初始版本中使用的少量几个比特币地址,及其有限的传播,也暗示了这不是网络犯罪团伙间共享的勒索软件家族。

除了WannaCry传播工具中的共性,WannaCry本身与Lazarus之间也有很多联系。该勒索软件与Lazarus之前用过的Backdoor.Contopee共享了部分代码。Contopee的一个变种采用的自定义SSL实现和加密套件,在WannaCry中也有使用。两个样本中的加密套件都采用了同一套含75个可选密码的方案(OpenSSL的方案是从300多个不同密码中进行选择)。

鉴于大量工具、代码和基础设施的使用都与Lazarus相关,赛门铁克断定,早期WannaCry攻击提供了充分的证据证明该勒索软件源自Lazarus。该公司还指出,永恒之蓝漏洞利用的泄露,正是将WannaCry的能力大幅提升的罪魁祸首。

 

分享:

相关文章

写一条评论

 

 

0条评论