「想哭」攻擊幕後黑手疑似北韓

上週五肆虐全球的WannaCry病毒，在短短三天中就造成全球150個國家約30萬台電腦癱瘓，目前全球企業仍然受到影響，而各地政府仍持續在調查中。而全球的資安專家也從相關的程式碼中發現，WannaCry病毒可能與北韓的駭客集團Lazarus有很大的關聯。

Google研究員Neel Mehta星期一從部分記錄中發現北韓駭客集團Lazarus與WannaCry病毒有些許的關聯性，相關的攻擊連線也指向北韓。但對此Google拒絕發表評論。

此外賽門鐵克也發現了Lazarus和WannaCry之間的關連性。並發現早期版本的WannaCry病毒已被Lazarus所破解。這些版本與星期五所傳播的勒索程式不同。目前還不清楚是否為Lazarus將勒索程式殖入系統中，還是有其它的有心人士。

賽門鐵克發言人在一份聲明中表示：我們還不能夠確認Lazarus是否將WannaCry部署在這些系統上，雖然得知這些有關聯，但證據確很薄弱，我們繼續朝著更明確的證據做調查。

卡巴斯基實驗室也發表了相似的聲明。北韓Lazarus與2014年新力索尼影業被駭事件有關，並且襲擊了世界各地的銀行。

最近相關調查仍無法確定北韓駭客是否與全球網絡攻擊有關，卻也給研究人員找出幕後主使的線索。方法其一就是調查程式碼，並與過去駭客的手法進行比對。

據安全公司Endgame的惡意軟件研究員阿曼達•盧梭（Amanda Rousseau）指出，網絡罪犯不容易捉到，也很難找到被感染首例及第一個啟動傳播的受害者。

WannaCry利用Windows的漏洞，通過加密文件將電腦「人質化」，並要求贖金以解鎖電腦，主要影響的是使用Windows做文件共享的企業及大型組織，而微軟在3月份就已發布了修補程式。這次的攻擊認為屬於NSA的駭客工具。

盧梭表示，惡意軟件程式碼表明至少有兩個人以上負責，因WannaCry與ransomware(贖金程式)由兩種不同方式編碼。她說破解贖金程式並不難，這也表示贖金程式是由一個經驗較為不足的人寫出來的。

研究人員調查相關可辨識的線索，例如程式字串或網站註冊，通常，惡意軟件程式碼是公開的，或者在網路黑市上買得到，但是駭客使用的工具讓調查人員難以追查，所以要找出將整體事件幕後黑手是很困難的。

根據Lookout安全公司的研究員邁克爾•弗洛斯曼（Michael Flossman）透露，「檢查受害者可以幫助遏止肇事者」 - 但在WannaCry的攻擊事件中，成千上萬的電腦受到影響但卻沒多少相似之處，這次雖然這次成功的攻擊了醫院和關鍵基礎設施，但駭客只獲得不到6萬美元的收入，而安全人員和政府仍建議企業不要支付贖金。

研究人員試著拼湊並追查WannaCry的出處，並且深入了解駭客是如何在暗黑網路中找到的Microsoft漏洞。暗黑網路就像網際網路中的第二層，超過了普通人每天使用量。它只能通過Tor瀏覽器進行連結，駭客穿上了隱形的斗篷，使其他人看不到他們的活動。

網絡安全公司CYR3CO於四月中從黑網中取得相關消息，在一個俄羅斯論壇上發表了一篇文章，文章內容討論使用洩露的國家安全局的漏洞來針對醫院作勒贖攻擊的對話最引人注意的是這段對話具體提出了Windows漏洞，“CYR3CON的共同創始人兼首席執行官保羅•沙基裡安（Paul Paulo Shakarian）表示「該對話提到有成千上萬的系統可以被當做目標，其中許多是在醫療行業」此後許多黑網對話都圍繞這些工具，而且都具體談到了勒贖攻擊，這與WannaCry有非常驚人的相似度。 

對於誰發出的是不可能得知，也無法證明線上參與者都是有嫌疑的。但執法部門和研究人員可以利用這些信息來了解未來的攻擊行為，因此企業和用戶可以防範駭客攻擊 Shakarian說：這次的攻擊提供深入了解惡意駭客正在尋找什麼樣的目標，他們將使用什麼工具，以及現有的專業知識