據(jù)路透社等多家外媒報(bào)道，肆虐全球的電腦勒索病毒 WnanaCry 可能與朝鮮有關(guān)。谷歌和卡巴斯基實(shí)驗(yàn)室等多個(gè)機(jī)構(gòu)經(jīng)過研究后發(fā)現(xiàn)，惡意程序代碼中的線索將幕后黑手的身份指向了朝鮮。

▲此前傳聞的朝鮮黑客，圖片來自網(wǎng)絡(luò)

谷歌安全研究人員尼奧·梅塔（Neel Mehta）在其社交媒體上表示，此次肆虐全球的 WannaCry 勒索病毒和之前國(guó)際神秘黑客組織“拉撒路”（Lazarus Group）使用的惡意軟件腳本非常一致，而該組織此前就被多家安全機(jī)構(gòu)認(rèn)定來自朝鮮。

據(jù)雷鋒網(wǎng)了解，拉撒路組織曾涉及2014年索尼影業(yè)遭攻擊事件以及史上規(guī)模最大的銀行黑客盜竊案——孟加拉國(guó)中央銀行失竊8100萬美元案件。（詳見雷鋒網(wǎng)此前報(bào)道《探秘 | 比朝鮮核武器更炸裂更神秘的，是朝鮮黑客部隊(duì)》）

網(wǎng)絡(luò)安全公司 Proofpoint 和卡巴斯基實(shí)驗(yàn)室將 尼奧·梅塔 提供的樣本進(jìn)行分析后也發(fā)現(xiàn)，WannaCry 中的一部分代碼和拉撒路組織用的惡意軟件代碼幾乎一模一樣 —— 兩者使用了相同的隨機(jī)數(shù)生成 0 到75之間的隨機(jī)數(shù)，用于對(duì)劫持?jǐn)?shù)據(jù)的加密以及通過混淆，避免安全工具的檢測(cè)。

早前幾天，WannaCry 勒索病毒波及全球150個(gè)國(guó)家，感染超過30萬臺(tái)電腦時(shí)，就有人在感染地圖上發(fā)現(xiàn)，朝鮮是少有的，完全沒有監(jiān)測(cè)到“中招”的國(guó)家。因此也懷疑朝鮮與幕后黑手有關(guān)，因?yàn)檫@過于巧合。

▲感染地圖，圖片來自網(wǎng)絡(luò)

不過，威脅情報(bào)平臺(tái)微步在線的安全專家秋石告訴雷鋒網(wǎng)：

根據(jù)目前的線索，并不能下定論說黑客就來自于朝鮮，完全有可能是誤判。

許多黑客工具在網(wǎng)上是公開的，或者在存在售賣的情況，同樣的代碼片段和技巧可能會(huì)被不同的病毒編寫者采用。只根據(jù)一個(gè)角度的證據(jù)就輕易下結(jié)論是不可取的。

只能說，從目前全球各國(guó)安全研究者的分析來看，Lazarus團(tuán)伙嫌疑相對(duì)較大。

卡巴斯基方面目前也表示需要進(jìn)一步的研究才能下定論。

有人認(rèn)為，朝鮮沒有中招的原因有很多，比如朝鮮有自己內(nèi)部開發(fā)的操作系統(tǒng)，這款操作系統(tǒng)名為 Red Star OS，而此次勒索者利用的是 Windows 系統(tǒng)的“永恒之藍(lán)”漏洞。如果朝鮮人民都不怎么用 Windows 系統(tǒng)，自然就可以解釋他們?yōu)槭裁礇]有中招。況且，僅憑沒有“中招”就懷疑其為幕后黑手，實(shí)在沒什么依據(jù)。

▲朝鮮自主研發(fā)紅星系統(tǒng)

目前全球各大網(wǎng)絡(luò)安全研究機(jī)構(gòu)正在繼續(xù)深入調(diào)查此事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。