WannaCry的幕後攻擊者是誰？新證據指向北韓

上周五在全球肆虐的勒索蠕蟲WannaCry，在短短的一個周末就造成全球150個國家、20萬臺電腦淪陷，然而到底是誰有本事發動這樣大規模的網路攻擊，讓全球陷入大亂呢？資安專家最近從程式碼的蛛絲馬跡發現，WannaCry的攻擊者與惡名昭彰的Lazarus駭客集團有很大的關聯，而Lazarus亦與北韓政府關係匪淺。

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution

— Neel Mehta (@neelmehta) May 15, 2017

新證據是由Google研究員Neel Mehta率先公布，他在個人Twitter帳號公布了兩段字串，但沒做任何說明。隨後卡巴斯基實驗室研究總監Costin Raiu與Comae創辦人Matt Suiche證實，這兩段字串分別取自2017年2月份早期的WannaCry勒索蠕蟲程式，以及2015年2月份的Contopee後門程式的片段，這兩段程式碼幾乎相同，而經調查Contopee後門程式為Lazarus駭客集團所為。

Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5

— Matthieu Suiche (@msuiche) May 15, 2017

然而根據程式碼類似就能判定WannaCry的幕後藏鏡人是Lazarus嗎？說不定是有心人士複製Contopee的程式碼片段，以嫁禍給Lazarus。卡巴斯基實驗室指出，確實有這種可能，然而比對目前流行的5月份的WannaCry程式碼，卻沒發現這段從2月份版本發現的程式碼，可合理推測攻擊者在2月開始測試攻擊程式時仍使用Contopee舊的程式碼，而在5月真正發動攻擊時才刪掉與Contopee相關的程式碼，由此行徑可高度懷疑WannaCry與Lazarus有相當的關係，若非是Lazarus駭客集團發動攻擊，就是有辦法取得Lazarus程式碼的組織。

Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR

— Costin Raiu (@craiu) May 15, 2017

Lazarus是近年來惡名昭彰的駭客集團。2014年的新力索尼影視被駭事件，以及日前沸沸揚揚的印度孟加拉銀行被利用SWIFT轉帳機制盜領8千多萬美元，經過許多資安研究員的調查，皆認為Lazarus是背後的攻擊者。

卡巴斯基實驗室表示，在調查孟加拉銀行盜領案時，一開始也沒有什麼證據指向攻擊者是Lazarus，然而隨著許多資安研究員發掘出更多訊息，證據一步步指向Lazarus。目前雖然尚無法定論WannaCry的幕後攻擊者就是Lazarus，但隨著全球的資安研究員找出更多蛛絲馬跡，應該能夠找出全球都迫切想知道的答案。