勒索軟件WannaCry網絡攻擊:「或與朝鮮有關」?

Encrypted tweet message from Neel Mehta 圖片版權 @neelmehta
Image caption 谷歌安全研究員尼爾·梅塔(Neel Mehta)將黑客使用的兩個惡意軟件樣本進行對比後發現了相似之處,其中一個樣本出自神秘黑客組織"拉撒路組"。

誰是這次全球網絡攻擊的幕後黑手呢?目前有種看法指向了朝鮮,但就目前所知來看,這遠非結論。

人們也許沒有聽說過"拉撒路組"(Lazarus Group),但可能見識過這些人的手筆。2014年索尼電影娛樂公司遭黑客攻擊案,以及2016年孟加拉央行在美國紐約聯邦儲備銀行的帳戶被盜竊案,都與這個相當複雜的黑客團伙有關。

人們普遍認為,"拉撒路組"黑客身在中國,但為朝鮮人辦事。

在谷歌公司安全研究員尼爾·梅塔(Neel Mehta)公布新發現後,網絡安全專家現在謹慎地將"拉撒路組"與肆虐全球的勒索網絡攻擊聯繫起來。梅塔將黑客使用的兩個惡意軟件樣本進行對比後發現了相似之處,其中一個樣本出自神秘黑客組織"拉撒路組"。

這僅僅是一大堆證據,也有其他線索需要考慮。

安全專家艾倫·伍德沃德(Alan Woodward)教授通過電子郵件指出,原來的WannaCry代碼中的時間戳設置為"UTC + 9 ",也就是比協調時間快9個小時的時區, 而要求贖金的文本使用了機器翻譯的英文,但中文部分顯然是由母語人士撰寫。

伍德沃德教授表示, 這些證據很弱,而且都是間接的,"但是值得進一步調查"。

圖片版權 EPA
Image caption 確定網絡攻擊來源非常困難。

確定攻擊來源並非易事

有關調查已經開始。

俄羅斯安全公司卡巴斯基(Kaspersky)表示:"梅塔的發現是迄今為止針對WannaCry起源最為重要的線索"。但是,在得出任何確定的結論之前,還需要更多關於WannaCry早期版本的信息。

卡巴斯基表示,"我們認為,世界各國的研究人員應對這些相似之處展開調查,並嘗試發現有關WannaCry起源的更多事實"。

該公司聲明說,"回顧孟加拉央行黑客襲擊事件,在調查初期,將事件與拉撒勒組黑客聯繫起來的事實亦很少"。

"隨著時間的推移,更多證據的出現,我們和其他人有信心將它們聯繫在一起。進一步研究對於如何將它們聯繫起來至關重要"。

確定網絡攻擊來源非常困難,而且常常依賴於共識,而非確鑿證據。

譬如,朝鮮從未承認涉及索尼電影娛樂公司遭黑客攻擊事件,但一些安全專家和美國政府則對這個理論充滿信心,當然,也不排除這是假警訊的可能。

技藝精湛的黑客可能只是採取手段使朝鮮看起來是網絡攻擊事件的源頭。

就勒索病毒WannaCry個案來說,黑客可能只是從"拉撒路組"早期的攻擊中複製了代碼。

但卡巴斯基表示,"可能"在勒索病毒WannaCry中出現假警訊,但也"不太可能",因為共享代碼已從較晚版本中刪除。

伍德沃德教授補充說:"這當中有很多個'如果'"。

"這個證據在法庭上無法成立",但在朝鮮有可能被確認為黑客源頭的情況下,"此事值得深入研究"。

圖片版權 Getty Images
Image caption 很少有人想到塞特·羅根導演的電影《採訪》會有這樣的全球性政治影響。

迄今為止,這是涉及勒索病毒WannaCry起源的最強理論。不過,也有一些細節顯示,此次網絡攻擊並非朝鮮所為。

首先,中國是此次網絡攻擊受影響最嚴重的國家之一,而這並非偶然,因為黑客凖備了中文版的勒索信。朝鮮似乎不太可能對抗其最強大的盟友。俄羅斯也受到嚴重影響。

其次,朝鮮的網絡攻擊目標通常更具針對性,往往具有政治目標。

就索尼電影娛樂公司遭黑客攻擊一案來說,黑客力圖阻止發佈一個嘲笑朝鮮領導人金正恩的影片。相反,勒索病毒WannaCry的傳播不區分目標,該病毒會感染任何東西。

最後,如果該計劃只是為了賺錢,那它在這個方面也不成功,據對犯罪分子使用的比特幣賬戶的分析,網絡攻擊受害者只支付了約6萬美元(46500英鎊)贖金。

目前有超過20萬機器遭勒索病毒感染,這是一個可怕的回報。當然,也許這個贖金只是為了分散人們的注意力,也許還有其他一些政治目的。

另一種可能性是"拉撒路組"是在沒有接受朝鮮指令的情況下單獨行事。事實上,也許"拉撒路組"黑客與朝鮮根本就沒有聯繫。

顯然,問題比答案多。在網絡戰中,確認事實相當困難。

更多有關此項報導的內容