У кібератаці WannaCry підозрюють Північну Корею

Заражений комп'ютер Копирайт изображения EPA
Image caption Вірус WannaCry погрожує видалити дані користувачів, якщо вони не заплатять викуп

Хто стоїть за величезною світовою кібератакою? Одна із провідних теорій стверджує, що це - Північна Корея, хоча висновки робити ще дуже рано.

Ви, можливо, не чули про організацію Lazarus Group, але, імовірно, ви знаєте про її роботу. Їй приписують масштабну кібератаку на компанію Sony Pictures 2014 ро, і ще одну - на бангладеський банк 2016 року.

Багато хто вважає, що Lazarus Group працювала з Китаю, але від імені Північної Кореї.

Експерти з безпеки зараз обережно пов'язують цю групу із новою кібератакою. Цьому сприяла інформація, здобута аналітиком Google з безпеки. Ніл Мехта знайшов схожість між кодом у WannaCry (програмі, яка використовувалась у кібератаці) й іншими інструментами, які, як вважають, раніше були створені Lazarus Group.

Це - вкрай поверхові докази, але є й інші натяки, які варто врахувати.

Експерт з питань безпеки професор Алан Вудвард вказує, що часова мітка оригінального коду WannaCry встановлена на UTC +9 - часовий пояс Китаю. А текст, який вимагає викуп, схожий на комп'ютерний переклад на англійську, тоді як китайська версія вочевидь була написана носієм мови.

"Як ви бачите, це досить кволі і непрямі докази", - каже професор Вудворд.

"Тим не менше, вони вартують подальшого дослідження", - зазначає він.

Докази

І це розслідування вже ведеться.

"Відкриття Ніла Мехти - найважливіше на цей час свідчення про походження WannaCry", - каже російська фірма із кібербезпеки "Лабораторія Касперського". Водночас там вказують, що перш ніж робити остаточні висновки, потрібно зібрати більше інформації про попередні версії WannaCry.

"Беручи до уваги атаку на Бангладеш, спочатку було дуже мало фактів, які б пов'язували її з групою Lazarus".

"З часом з'явилося більше доказів, які дозволили і нам, і іншим, позв'язати їх. Подальші дослідження можуть мати вирішальне значення", - додали у "Лабораторії Касперського".

Виявити походження кібератаки - складне завдання. І часто цей висновок робиться на основі консенсусу дослідників, а не на вирішальних доказах.

Наприклад, Північна Корея ніколи не визнавала свою причетність до атаки на Sony Pictures. І хоча, і експерти в галузі безпеки, і уряд США, впевнені у цій теорії, можливість помилки виключити неможливо.

Досвідчені хакери можуть просто зробити походження вірусу схожим на північнокорейське.

"У суді не представиш"

У випадку з WannaCry, цілком можливо, що хакери просто скопіювали код з попередніх нападів Lazarus Group.

У "Касперському" кажуть, що "хибні сліди" у WannaCry можливі, але малоймовірні, оскільки загальний код із пізніших версій вилучили.

"Таких "але" тут дуже багато", - додає професор Вудворд.

"Це (докази) у такому вигляді в суді не представиш. Але варто поглянути глибше і усвідомлювати схильність багатьох вважати, що до цього причетна Північна Корея".

Це найсильніша на сьогодні теорія про походження WannaCry. Але є також деталі, які, навпаки, відводять підозри від КНДР.

Копирайт изображения Getty Images
Image caption Навряд чи хтось думав, що фільм Сета Рогена матиме такі глобальні політичні наслідки

По-перше, Китай - серед країн, які найбільше постраждали, і це не випадково: хакери постаралися, аби була версія викупної записки, написаної по-китайськи. Видається малоймовірним, що Північна Корея прагнула б протидіяти своєму наймогутнішому союзнику. Росія постраждала також.

По-друге, північнокорейські кібератаки зазвичай є набагато більш цілеспрямовані і часто мають політичну мету.

У випадку із Sony Pictures хакери намагалися запобігти випуску фільму "Інтерв'ю", який висміював лідера Північної Кореї Кім Чен Ина.

Водночас WannaCry, навпаки, є вкрай невибірковим і інфікував усе, що міг.

Зрештою, якби план полягав у тому, аби просто заробити гроші, він був досить невдалим. Загальний виплачений викуп становить усього близько 60 тисяч доларів, згідно з аналізом Bitcoin-рахунків, які використовували хакери.

Враховуючи понад 200 тисяч інфікованих машин, це жалюгідний прибуток. Але, можливо, викуп мав відволікти від політичної мети, яка поки що не дуже зрозуміла.

Інша можливість полягає в тому, що Lazarus Group діяла сама, без інструкції з Північної Кореї. Насправді, вона, можливо, навіть не пов'язана з КНДР.

Більше питань, ніж відповідей: пошук фактів у кібер-війні - складне завдання.

Новини на цю ж тему