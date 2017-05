上周五在全球肆虐的勒索蠕蟲WannaCry,在短短的一個周末就造成全球150個國家、20萬臺電腦淪陷,然而到底是誰有本事發動這樣大規模的網路攻擊,讓全球陷入大亂呢?資安專家最近從程式碼的蛛絲馬跡發現,WannaCry的攻擊者與惡名昭彰的Lazarus駭客集團有很大的關聯,而Lazarus亦與北韓政府關係匪淺。

新證據是由Google研究員Neel Mehta率先公布,他在個人Twitter帳號公布了兩段字串,但沒做任何說明。隨後卡巴斯基實驗室研究總監Costin Raiu與Comae創辦人Matt Suiche證實,這兩段字串分別取自2017年2月份早期的WannaCry勒索蠕蟲程式,以及2015年2月份的Contopee後門程式的片段,這兩段程式碼幾乎相同,而經調查Contopee後門程式為Lazarus駭客集團所為。

Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5

然而根據程式碼類似就能判定WannaCry的幕後藏鏡人是Lazarus嗎?說不定是有心人士複製Contopee的程式碼片段,以嫁禍給Lazarus。卡巴斯基實驗室指出,確實有這種可能,然而比對目前流行的5月份的WannaCry程式碼,卻沒發現這段從2月份版本發現的程式碼,可合理推測攻擊者在2月開始測試攻擊程式時仍使用Contopee舊的程式碼,而在5月真正發動攻擊時才刪掉與Contopee相關的程式碼,由此行徑可高度懷疑WannaCry與Lazarus有相當的關係,若非是Lazarus駭客集團發動攻擊,就是有辦法取得Lazarus程式碼的組織。

Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR

— Costin Raiu (@craiu) May 15, 2017