狡猾的犯罪者能將現(xiàn)場(chǎng)處理干凈，甚至故意留下虛假線索嫁禍他人，探案者稍稍疏忽，就可能被套路，然而精湛的偵探卻總能在蛛絲馬跡中找到破案線索。

偵探與罪犯的這一套邏輯，在黑客的世界同樣適用。對(duì)網(wǎng)絡(luò)安全稍有常識(shí)的人都知道，僅根據(jù)單一的線索，比如黑客襲擊的來(lái)源地來(lái)判斷黑客所在地，是完全不靠譜的 —— 稍有經(jīng)驗(yàn)的黑客攻擊者都能擾亂線索，藏匿身份并嫁禍于人。因此定位黑客和偵察案件一樣，是一場(chǎng)技術(shù)和謀略的較量。

前不久雷鋒網(wǎng)報(bào)道了一則《3/4 的勒索軟件都是“說(shuō)俄語(yǔ)的人”做的！》的新聞，其中外媒softpedia 表示，75%的勒索軟件都是由說(shuō)俄語(yǔ)的網(wǎng)絡(luò)罪犯搞出來(lái)的。

當(dāng)時(shí)卡巴斯基實(shí)驗(yàn)室的分析員表示，他們發(fā)現(xiàn)的 62 個(gè)加密勒索軟件家族中，47 個(gè)由俄羅斯人或說(shuō)俄語(yǔ)的人開(kāi)發(fā)。他們無(wú)法解釋為什么那么多勒索軟件族譜都有“俄羅斯血統(tǒng)”，猜測(cè)可能是因?yàn)槎砹_斯及周邊國(guó)家熟悉代碼編寫(xiě)的人比較多。

然而近日英國(guó)的一家威脅研究機(jī)構(gòu)BAE 系統(tǒng)公司最近發(fā)布了一篇博文讓人大跌眼鏡：“有人蓄意將惡意軟件翻譯成俄羅斯語(yǔ)，以嫁禍俄羅斯人！ ”。

情節(jié)反轉(zhuǎn)，俄羅斯遭蓄意嫁禍？

據(jù)雷鋒網(wǎng)宅客頻道了解，事情是這樣的：BAE Systems公司的研究人員最近得到了幾份針對(duì)全球31個(gè)國(guó)家的104家金融機(jī)構(gòu)發(fā)起攻擊的惡意軟件樣本。他們發(fā)現(xiàn)，雖然里面有許多俄文，但是許多語(yǔ)句看起來(lái)狗屁不通，許多單詞都牛頭不對(duì)馬嘴，看起來(lái)像是有人故意用翻譯軟件將語(yǔ)言翻譯成俄文的。

舉個(gè)例子，在惡意軟件樣本中有一個(gè)這樣的詞：“kliyent2podklyuchit” ，分析人員用逆向工程翻譯成英文就是：“client2connect" （客戶端連接）。眼尖的分析人員一下就看出端倪，真正的俄羅斯本地人絕不會(huì)用“kliyent”這樣的單詞！在實(shí)際當(dāng)中，說(shuō)俄語(yǔ)的人通常會(huì)使用“client" 或者”Klient"，但絕不會(huì)用蹩腳的“kliyent"。

經(jīng)過(guò)分析他發(fā)現(xiàn)，很可能是嫁禍者在使用在線翻譯工具，將軟件語(yǔ)言翻譯成俄文時(shí)，犯了一個(gè)錯(cuò)誤，他把俄文底下的發(fā)音誤認(rèn)為是單詞了。

這就好比嫁禍者把“client”翻譯成中文“ kehu （客戶）”,然后想當(dāng)然地認(rèn)為中國(guó)的開(kāi)發(fā)者會(huì)用 “ kehu ”來(lái)表示客戶端一樣，實(shí)際上我們的開(kāi)發(fā)者并不會(huì)這么去做。

分析人員發(fā)現(xiàn)，類似的錯(cuò)誤比比皆是，由此可以斷定，有人故意使用俄羅斯語(yǔ)言以嫁禍他人或者混淆視聽(tīng)。

矛頭直指一知名黑客組織

分析人員表示，通過(guò)對(duì)此次惡意軟件樣本進(jìn)行分析，已有一定技術(shù)性證據(jù)表明該次攻擊活動(dòng)和一個(gè)叫做“ Lazarus Group”的黑客組織有關(guān)。

Lazarus Group 是誰(shuí)？

據(jù)雷鋒網(wǎng)了解，該組織至少自2009年就開(kāi)始活動(dòng)，且多年來(lái)一直在對(duì)韓國(guó)及美國(guó)的各政府機(jī)構(gòu)及私人組織發(fā)動(dòng)各類攻擊。

2014年索尼電影娛樂(lè)公司遭遇攻擊，導(dǎo)致大量敏感數(shù)據(jù)外泄。FBI 及其它美國(guó)情報(bào)部門(mén)當(dāng)時(shí)將這一襲擊活動(dòng)歸咎于朝鮮政府。（因?yàn)楫?dāng)時(shí)索尼娛樂(lè)公司當(dāng)時(shí)正準(zhǔn)備上映一部叫《刺殺金正恩》的電影，疑被報(bào)復(fù)），其后人們發(fā)現(xiàn)那起攻擊和 Lazarus Group有關(guān)。

2016年， Lazarus Group 發(fā)動(dòng)了一次攻擊，洗劫了孟加拉中央銀行 8100萬(wàn)美元。在那次攻擊活動(dòng)中，黑客利用惡意軟件操縱銀行使用的計(jì)算機(jī)設(shè)備，試圖轉(zhuǎn)移的資金總額高達(dá)9億5100萬(wàn)美元，但其中一部分被發(fā)現(xiàn)后由銀行方面進(jìn)行了恢復(fù)，因此搞到了 8100萬(wàn)美元 。有趣的是，據(jù)國(guó)際新聞報(bào)道，當(dāng)時(shí)黑客攻擊被發(fā)現(xiàn)，也是因?yàn)椤昂诳推村e(cuò)一個(gè)英文單詞”。

前不久發(fā)生的一起針對(duì)波蘭多家銀行的惡意軟件攻擊事件，也極有可能是 Lazarus Group 利用波蘭金融監(jiān)管局網(wǎng)站中存在的漏洞完成的。

卡巴斯基的安全研究員曾對(duì)該組織進(jìn)行過(guò)追蹤，當(dāng)時(shí)他們對(duì)該團(tuán)伙的活動(dòng)時(shí)間、休息吃飯時(shí)間、睡覺(jué)時(shí)間等進(jìn)行了分析，表明該團(tuán)伙的多數(shù)人應(yīng)生活在東八區(qū)（GMT+8）或東九區(qū)（GMT+9），而且從當(dāng)時(shí)從Lazarus的樣本集來(lái)看，幾乎有2/3的網(wǎng)絡(luò)犯罪可執(zhí)行文件都包含了典型韓語(yǔ)用戶的元素。

并且，團(tuán)伙成員屬于極端型的工作狂，每日工作時(shí)間長(zhǎng)達(dá)15-16個(gè)小時(shí)。Lazarus 儼然是業(yè)內(nèi)多年來(lái)所知的“最勤勞”的團(tuán)伙了。

【 Lazarus 團(tuán)伙作息規(guī)律】

“東八區(qū)或東九區(qū)”、“韓語(yǔ)元素”、"最勤奮的黑客”、“攻擊韓國(guó)和美國(guó)”，看到這里，雷鋒網(wǎng)編輯心理一驚，矛頭難道又要從俄羅斯黑客轉(zhuǎn)移到了朝鮮人身上。

不過(guò)，誰(shuí)又能保證，這不是另一起更高明的嫁禍行為呢？黑客嫁禍這種事已經(jīng)不是一次兩次發(fā)生了，2009年google等幾十家美國(guó)公司受到黑客的攻擊后，《紐約時(shí)報(bào)》就在沒(méi)有充分證據(jù)的情況下，就稱該攻擊和中國(guó)的藍(lán)翔技校有關(guān)，之后也不了了之。

雷鋒網(wǎng)認(rèn)為，無(wú)論在現(xiàn)實(shí)生活還是網(wǎng)絡(luò)世界，說(shuō)話總是都是要講究真憑實(shí)據(jù)的。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。