Φωτογραφία από Blogtrepreneur | CC BY 2.0
Στις 19 Δεκεμβρίου, σε ένα περιοδικό Wall Street Journal που επέστησε μεγάλη προσοχή, ο Homeland Security Advisor Tom Bossert υποστήριξε ότι η Βόρεια Κορέα ήταν "άμεσα υπεύθυνη" για το cyberattack της WannaCry που έπληξε περισσότερους από 300.000 υπολογιστές παγκοσμίως. Ο ιός κρυπτογράφησε αρχεία σε μολυσμένους υπολογιστές και απαίτησε πληρωμή σε αντάλλαγμα για υποτιθέμενη παροχή ενός κλειδιού αποκρυπτογράφησης για να επιτρέψει στους χρήστες να ανακτήσουν πρόσβαση σε κλειδωμένα αρχεία. Ο Μποσερτ δήλωσε ότι η Βόρεια Κορέα "χρησιμοποιεί cyberattacks για να χρηματοδοτήσει την απερίσκεπτη συμπεριφορά της και να προκαλέσει διακοπές σε ολόκληρο τον κόσμο." [1]
Σε μια συνέντευξη Τύπου την ίδια μέρα, ο Μποσέρ ανακοίνωσε ότι η καταχώριση έγινε «με αποδεικτικά στοιχεία» και ότι η WannaCry "κατευθύνθηκε από την κυβέρνηση της Βόρειας Κορέας" και πραγματοποιήθηκε από "φορείς για λογαριασμό τους, μεσάζοντες". που οδήγησε στις ΗΠΑ στο συμπέρασμα αυτό; Ο Μπόσσερτ δεν είπε, ίσως υπενθυμίζοντας την γελοιοποίηση που χαιρέτισε την άγνοια της αναφοράς του FBI και της Υπηρεσίας Εσωτερικής Ασφάλειας της Βουδαπέστης σχετικά με την πειρατεία της Δημοκρατικής Εθνικής Επιτροπής. [2] "Ενημέρωση τύπου σχετικά με την απόδοση της επίθεσης malware WannaCry στη Βόρεια Κορέα", Whitehouse.gov, 19 Δεκεμβρίου 2017.
Το επίκεντρο του ισχυρισμού της Βρετανικής υπαιτιότητας είναι η ομοιότητα στον κώδικα μεταξύ του κακόβουλου λογισμικού Contopee, το οποίο ανοίγει την πρόσβαση backdoor σε έναν μολυσμένο υπολογιστή και κωδικοποιεί μια πρώιμη παραλλαγή του WannaCry. [3]
Η Contopee έχει συνδεθεί με τον όμιλο Lazarus, μια οργάνωση εγκληματικότητας στον κυβερνοχώρο, που ορισμένοι πιστεύουν ότι ξεκίνησε το hack της Sony, βασισμένο στα εργαλεία λογισμικού που χρησιμοποιήθηκαν σε αυτή την επίθεση. Δεδομένου ότι η Βόρεια Κορέα θεωρείται ευρέως ότι βρίσκεται πίσω από το cyberattack στη Sony, με την πρώτη ματιά φαίνεται ότι σφραγίζει το επιχείρημα.
Είναι λογικό επιχείρημα, αλλά βασίζεται σε έγκυρες εγκαταστάσεις; Λίγα είναι γνωστά για τον Λάζαρο, εκτός από τις πράξεις που αποδίδονται σε αυτόν. Η σχέση μεταξύ Lazarus και Βόρειας Κορέας είναι μια υπόθεση που βασίζεται σε περιορισμένα στοιχεία. Μπορεί ή δεν μπορεί να είναι αλήθεια, αλλά ο προφανής δεσμός είναι πολύ πιο αδύναμος από την πεποίθηση των μέσων μαζικής ενημέρωσης ότι θα πιστεύει κανείς. Ο Λάζαρος φαίνεται να είναι ένας ανεξάρτητος οργανισμός που ενδεχομένως εδρεύει στην Κίνα, τον οποίο η Βόρεια Κορέα μπορεί ή δεν μπορεί να έχει συνάψει για να εκτελέσει ορισμένες πράξεις. Αυτό δεν σημαίνει απαραίτητα ότι κάθε ενέργεια - ή ακόμα και οποιαδήποτε ενέργεια - ο Λάζαρος εκτελεί είναι στη διοίκηση της Βόρειας Κορέας.
Στο μυαλό του Bossert, καθώς και εκείνο των δημοσιογράφων των μέσων μαζικής ενημέρωσης, ο Lazarus - οι ενδιάμεσοι Bossert αναφέρεται - και η Βόρεια Κορέα είναι συνώνυμοι όταν πρόκειται για επιχειρήσεις στον κυβερνοχώρο. Η Βόρεια Κορέα δίνει τις εντολές και ο Λάζαρος τις εκτελεί. Ο James Scott, ανώτερος συνεργάτης του Ινστιτούτου Τεχνολογίας Υποδομών Ζωτικής Σημασίας, σημειώνει ότι "οι εικασίες σχετικά με το WannaCry αποδίδουν το κακόβουλο λογισμικό στον Όμιλο Lazarus και όχι στη Βόρεια Κορέα και ακόμη και αυτές οι συνδέσεις είναι πρόωρες και δεν είναι πλήρως πειστικές. Ο ίδιος ο Λάζαρος δεν αποδείχθηκε ποτέ οριστικά ως βιώσιμη απειλή (APT) που χορηγήθηκε από την Βόρειο Κορέα. στην πραγματικότητα, μια πληθώρα στοιχείων υποδηλώνει ότι ο όμιλος Lazarus μπορεί να είναι ένα εκλεπτυσμένο, καλά εξοπλισμένο και επεκτατικό κυβερνο-εγκληματικό και περιστασιακό κυβερνο-μισθοφορικό συλλογικό όργανο. "Επιπλέον, ο Scott προσθέτει,[4]
Η ύπαρξη ή μη σύνδεσης μεταξύ του Λαζάρου και της Βόρειας Κορέας έχει ελάχιστη σημασία όσον αφορά μια συγκεκριμένη επίθεση. Ο Joseph Carson της Thycotic υπογραμμίζει ότι είναι σημαντικό να είναι σαφές ότι ο [Λάζαρος] είναι μια ομάδα και τα κίνητρα μπορούν να αλλάξουν ανάλογα με το ποιος πληρώνει. Έχω βρει κατά την έρευνα ομάδες hacking μπορούν μια μέρα να εργάζονται για μια κυβέρνηση κάτω από ένα ψευδώνυμο και ένα άλλο χρησιμοποιώντας ένα διαφορετικό ψευδώνυμο. Αυτό σημαίνει ότι η σύνδεση στον κυβερνοχώρο δεν σημαίνει τίποτα ». [5]
Θεωρείται ιδιαίτερα δριμύ αποδεικτικό στοιχείο ότι ορισμένα από τα εργαλεία που χρησιμοποιούνται σε μια πρώιμη εκδοχή του WannaCry χαρακτηριστικά μετοχή με εκείνες που αναπτύχθηκαν στο cyberattack σχετικά με τη Sony. [6] Ωστόσο, υπάρχει αρκετή αιτία αμφιβολιών για το ρόλο της Βόρειας Κορέας στο χάκερ της Sony, όπως έχω ήδη γράψει. [7] Μετά την παραβίαση της Sony, ο επιχειρηματίας IT John McAfee αποκάλυψε ότι είχε επαφή με την ομάδα που επιτέθηκε στη Sony. «Έχει να κάνει με μια ομάδα χάκερ» υποκινούνται από αντιπάθεια της βιομηχανίας ταινίας «τον έλεγχο του περιεχομένου της τέχνης», είπε, και το FBI κακώς αποδίδει την επίθεση στη Βόρεια Κορέα. [8]
Εάν η απόδοση του hack της Sony στη Βόρεια Κορέα δεν συγκρατηθεί, τότε η σύνδεση με βάση τη χρήση του εργαλείου καταρρέει.
Μόλις αναπτυχθεί το κακόβουλο λογισμικό, συχνά εμφανίζεται προς πώληση στο Dark Web, όπου μπορεί να αγοραστεί από κυβερνοεγκληματίες. Η επαναχρησιμοποίηση κώδικα αποτελεί μέτρο εξοικονόμησης χρόνου για την οικοδόμηση νέων απειλών. Πράγματι, το κακόβουλο λογισμικό μπορεί να βρει το δρόμο του στην αγορά αρκετά γρήγορα και σχεδόν το συντομότερο, όταν η WannaCry είχε καταστροφές τον Μάιο, αναφέρθηκε ότι «οι ερευνητές βρίσκουν ήδη παραλλαγές» της WannaCry "σε άγρια κατάσταση". [9]
Σύμφωνα με τον Peter Stephenson της SC Media, "Η πιο επικρατέστερη [θεωρία] χρησιμοποιεί μπλοκ κώδικα που ήταν μέρος γνωστών κορεατικών αμυχών που εμφανίζονται στον κώδικα WannaCry ως δικαιολογία για την επιβολή των επιθέσεων στη NK. Αυτό δεν είναι αρκετό. Αυτά τα μπλοκ κώδικα είναι άμεσα διαθέσιμα στο υπόγειο και επαναχρησιμοποιούνται τακτικά. " [10]
Η συνηθισμένη χρήση εργαλείων σημαίνει λιγότερο από ό, τι μας οδηγεί να πιστεύουμε. "Ενώ το κακόβουλο λογισμικό μπορεί αρχικά να αναπτυχθεί και να χρησιμοποιηθεί από έναν μόνο ηθοποιό," εξηγεί το Digital Shadows, "αυτό δεν σημαίνει ότι θα παραμείνει μόνιμα μοναδικό σε αυτόν τον ηθοποιό. Τα δείγματα κακόβουλου λογισμικού ενδέχεται να διαρρεύσουν τυχαία ή σκόπιμα, να κλαπούν, να πωλούνται ή να χρησιμοποιούνται σε ανεξάρτητες επιχειρήσεις από μεμονωμένα μέλη της ομάδας. " [11]
"Ο κοινόχρηστος κώδικας δεν είναι ο ίδιος με αυτόν που αποδίδεται. Ο κώδικας μπορεί να ξαναγραφεί και να διαγραφεί από οποιονδήποτε και ο κοινός κώδικας συχνά επαναχρησιμοποιείται ", παρατηρεί ο Patrick Howell O'Neill της Cyberscoop. "Η ίδια τεχνική θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για να πλαισιώσει μια άλλη ομάδα ως υπεύθυνη για μια αμυχή αλλά, παρά τις πολλές πρόσφατες εικασίες, δεν υπάρχει καμία οριστική απόδειξη." [12]
Κανένας από τον κοινόχρηστο κώδικα δεν ήταν παρών στην εκτεταμένη επίθεση της WannaCry στις 12 Μαΐου. Παρόλο που είναι πολύ πιθανό ότι ο ίδιος ηθοποιός ήταν πίσω από τις πρώτες παραλλαγές του WannaCry και την έκδοση του Μαΐου, δεν είναι βέβαιο. Ο Alan Woodward, σύμβουλος για την ασφάλεια του κυβερνοχώρου στην Ευρωπόλ, επισημαίνει: "Είναι πολύ πιθανό ακόμα και μια σχετικά άπειρη ομάδα να αποκτήσει το κακόβουλο ωφέλιμο φορτίο WannaCry και να έχει ανασυσκευάσει αυτό. Ως εκ τούτου, το μόνο πράγμα που πραγματικά συνδέει τις επιθέσεις Μαΐου με τις προηγούμενες επιθέσεις WannaCry είναι το ωφέλιμο φορτίο, το οποίο οι εγκληματίες συχνά αντιγράφουν. " [13]
Η πιο καταστροφική συνιστώσα της WannaCry που χρησιμοποιήθηκε στην επίθεσή της στις 12 Μαΐου είναι η EternalBlue, μια εκμετάλλευση των τρωτών σημείων των Windows που αναπτύχθηκε από την Υπηρεσία Εθνικής Ασφάλειας και διαρρεύστηκε από τους Shadow Brokers. Ο NSA ενημέρωσε τη Microsoft για την ευπάθεια μόνο αφού έμαθε για την κλοπή του λογισμικού. Σύμφωνα με τον Bossert, ο NSA ενημερώνει τους κατασκευαστές λογισμικού για το 90% περίπου του χρόνου, όταν ανακαλύπτει μια ευπάθεια στο λειτουργικό λογισμικό. Διατηρεί ήσυχο το υπόλοιπο δέκα τοις εκατό, ώστε να μπορεί να «χρησιμοποιήσει αυτά τα τρωτά σημεία για να αναπτύξει εκμεταλλεύσεις με σκοπό την εθνική ασφάλεια για την ταξινομημένη δουλειά που κάνουμε». [14]Ο NSA σκόπιμα αφήνει σκόπιμα άτομα και οργανισμούς σε όλο τον κόσμο να εκτίθενται σε ενδεχόμενες παραβιάσεις της ασφάλειας, ώστε να μπορεί να διεξάγει τις δικές του δραστηριότητες στο κυβερνοχώρο. Αυτό είναι λιγότερο από καθησυχαστικό.
Η παραλλαγή May της WannaCry έθεσε επίσης σε εφαρμογή το DoublePulsar, το οποίο είναι ένα εμφυτευμένο backdoor που αναπτύχθηκε από το NSA και επιτρέπει σε έναν εισβολέα να αποκτήσει τον πλήρη έλεγχο ενός συστήματος και να φορτώσει εκτελέσιμο κακόβουλο λογισμικό.
Τα δύο συστατικά που έχουν αναπτυχθεί από την NSA είναι αυτά που επέτρεψαν στη WannaCry να μετατραπεί σε σφοδρότητα τον περασμένο Μάιο. Μετά την φόρτωση, το EternalBlue συνεχίζει να μολύνει κάθε άλλο ευάλωτο υπολογιστή στο ίδιο δίκτυο. Παράλληλα παράγει πολλές χιλιάδες τυχαίες διευθύνσεις IP και εκκινεί 128 σπειρώματα σε διαστήματα δύο δευτερολέπτων, αναζητώντας ευπάθειες σε υπολογιστές που μπορούν να εκμεταλλευτούν σε κάθε μια από τις παραγόμενες εξωτερικές διευθύνσεις IP. [15]
Η Κίνα και η Ρωσία ήταν από τα έθνη που επηρεάστηκαν περισσότερο από το κακόβουλο λογισμικό. [16] Η WannaCry είχε αρχικά στοχεύσει στα ρωσικά συστήματα, κάτι που φαίνεται να είναι περίεργο για τη Βόρεια Κορέα, δεδομένου ότι η Ρωσία και η Κίνα είναι τα πιο κοντινά πράγματα που έχει στους συμμάχους της. [17]
Η Digital Shadows αναφέρει ότι «το κακόβουλο λογισμικό εμφανίστηκε να εξαπλώνεται ουσιαστικά αδιακρίτως χωρίς έλεγχο από τους φορείς» και μια πιο στοχοθετημένη προσέγγιση «θα ήταν πιο συνεπής με τις δραστηριότητες ενός εξειδικευμένου εγκληματικού εξοπλισμού ή ενός τεχνικά ικανού εθνικού κράτους». [18]
Το Flashpoint ανέλυσε τη σημείωση λύτρας που εμφανίστηκε στους μολυσμένους υπολογιστές. Υπήρχαν δύο κινεζικές εκδόσεις και μια αγγλική έκδοση. Τα κινεζικά κείμενα γράφτηκαν από κάποιον που είναι άπταιστα και οι Άγγλοι από κάποιον με ισχυρή αλλά ατελής γνώση της αγγλικής γλώσσας. Οι σημειώσεις της Ransom σε άλλες γλώσσες προφανώς μεταφράστηκαν από την αγγλική έκδοση χρησιμοποιώντας τον μεταφραστή Google. [19] Έχει επισημανθεί ότι αυτό το γεγονός δεν διαψεύδει την αμερικανική απόδοση της Βόρειας Κορέας, καθώς αυτό το έθνος θα μπορούσε να έχει προσλάβει Κινέζους κυβερνοεγκληματίες. Αλήθεια, αλλά στη συνέχεια η Βόρεια Κορέα δεν έχει μοναδική ικανότητα να το κάνει. Εάν είναι τόσο τείνει, κάποιος θα μπορούσε να συρρικνωθεί κινεζικά προγραμματιστές κακόβουλου λογισμικού Ή οι κυβερνοεγκληματίες θα μπορούσαν να ενεργήσουν μόνοι τους.
Οι κοσμοπολίτες Lazarus και Βόρειας Κορέας έχουν φήμη για την ανάπτυξη περίπλοκου κώδικα. Το σήμα κατατεθέν της WannaCry, ωστόσο, είναι η απλή πικρία του, που απαιτεί την κυκλοφορία μιας σειράς νέων εκδόσεων σε αρκετά γρήγορη διαδοχή. Ο Alan Woodward πιστεύει ότι ο κακώς σχεδιασμένος κώδικας της WannaCry αποκαλύπτει ότι είχε γραφτεί από έναν "λιγότερο από έμπειρο προγραμματιστή κακόβουλου λογισμικού" [20].
Σημαντικές πτυχές του κώδικα ήταν τόσο άσχημα για το ότι είναι δύσκολο να φανταστεί κανείς πώς θα μπορούσε να είναι υπεύθυνη κάποια σοβαρή οργάνωση.
Οι ειδικοί ασφαλείας της πληροφορικής χρησιμοποιούν εικονικές μηχανές ή sandboxes για την ασφαλή δοκιμή και ανάλυση κώδικα κακόβουλου λογισμικού. Ένα καλοσχεδιασμένο κομμάτι κακόβουλου λογισμικού θα περιλαμβάνει λογική για να ανιχνεύει τον τύπο περιβάλλοντος που εκτελεί και να μεταβάλλει την απόδοσή του σε περιβάλλον εικονικής μηχανής (VM) ώστε να φαίνεται καλοήθη. Η WannaCry δεν έλειπε ιδιαίτερα από την άποψη αυτή. "Οι συγγραφείς δεν φάνηκε να ανησυχούν για την ανατροπή της ανάλυσης, καθώς τα δείγματα που αναλύθηκαν δεν περιείχαν καθόλου κωδικοποίηση, αντι-αποσφαλμάτωση ή VM-aware", σημειώνει τα LogRhythm Labs. [21]
Ο James Scott ισχυρίζεται ότι "κάθε επίθεση της WannaCry στερείται της μυστικότητας, της πολυπλοκότητας και των πόρων που χαρακτηρίζουν την ίδια την υποομάδα Lazarus ή τον Λάζαρο ως σύνολο. Αν και οι δύο ήταν πίσω από το WannaCry, οι επιθέσεις πιθανότατα θα ήταν πιο στοχοθετημένες, θα είχαν μεγαλύτερο αντίκτυπο, θα ήταν ανθεκτικές, θα ήταν πιο εξελιγμένες και θα είχαν κερδίσει σημαντικά μεγαλύτερα κέρδη. "Το EternalBlue exploit ήταν πολύτιμο για να χάσει" σε μια παραγωγική και μη κερδοφόρα εκστρατεία "όπως η επίθεση της WannaCry στις 12 Μαΐου. Αντίθετα, το Bluenoroff "προτιμά να ενσωματώνει σιωπηρά στις διαδικασίες, να τις εξωθήσει και να εξαφανιστεί αόριστα αφού κλέβει τεράστια δημοσιονομικά κέρδη" [22].Ο Bogdan Botezatu του Bitdefender συμφωνεί. "Η επίθεση δεν ήταν στοχευμένη και δεν υπήρχε σαφές κέρδος γι 'αυτούς. Είναι αμφίβολο ότι θα χρησιμοποιούσαν μια τόσο ισχυρή εκμετάλλευση για οτιδήποτε άλλο εκτός από την κατασκοπεία ». [23]
Το WannaCry περιελάμβανε ένα "διακόπτη σκοτώματος", προφανώς προοριζόμενο ως ένα ελαφρώς σκεπτόμενο χαρακτηριστικό anti-VM. "Για τη ζωή μου", σχολιάζει ο Peter Stephenson, "δεν μπορώ να δω γιατί θα πίστευαν ότι θα λειτουργούσε." [24] Όταν το λογισμικό εκτελείται, επιχειρεί πρώτα να συνδεθεί με ένα όνομα κεντρικού υπολογιστή που δεν έχει εγγραφεί. Το κακόβουλο πρόγραμμα θα προχωρήσει στην εκτέλεση αν ο τομέας δεν ήταν έγκυρος. Ένας ερευνητής στον κυβερνοχώρο κατάφερε να απενεργοποιήσει τη WannaCry καταγράφοντας τον τομέα μέσω του NameCheap.com, κλείνοντας με ευκολία τη δυνατότητα της WannaCry να μολύνει άλλους υπολογιστές. [25]
Μόλις η WannaCry μολύνει έναν υπολογιστή, απαίτησε ένα λύτριο $ 300 σε bitcoin για να απελευθερώσει τα αρχεία που είχε κρυπτογραφηθεί. Μετά από τρεις ημέρες, η τιμή διπλασιάστηκε. Το όλο θέμα της WannaCry ήταν να παράγει εισόδημα και είναι εδώ όπου ο κώδικας ήταν πιο ανάρμοστη.
Στην ιδανική περίπτωση, τα ransomware όπως το WannaCry θα χρησιμοποιούσαν έναν νέο αριθμό λογαριασμού για κάθε μολυσμένο υπολογιστή, για να εξασφαλίσουν καλύτερα την ανωνυμία. Αντ 'αυτού, WannaCry σκληρό κωδικοποιημένο μόνο τρεις αριθμούς λογαριασμού, η οποία βασικά πληροφόρησε τις αρχές τι λογαριασμούς για την παρακολούθηση. [26] Είναι ένα εκπληκτικό botch.
Απίστευτα, η WannaCry δεν είχε την ικανότητα αυτόματης αναγνώρισης των θυμάτων που πλήρωσαν τα λύτρα. Αυτό σήμαινε ότι ο προσδιορισμός της πηγής κάθε πληρωμής απαιτούσε χειρωνακτική προσπάθεια, ένα αποθαρρυντικό έργο δεδομένου του αριθμού των μολυσμένων υπολογιστών. [27] Αναπόφευκτα, τα κλειδιά αποκρυπτογράφησης δεν στάλθηκαν στα πληρώματα που πληρώνονταν και όταν η λέξη βγήκε, δεν υπήρχε κανένα κίνητρο για να πληρώσει κανείς άλλος.
Σύμφωνα με την εκτίμηση του James Scott, "Η επίθεση WannaCry προσέλκυσε πολύ υψηλή δημοσιότητα και πολύ υψηλή ορατότητα στην επιβολή του νόμου, ενώ παράλληλα προκάλεσε την ελάχιστη ζημιά σε μια παρόμοια εκστρατεία που το μέγεθος θα μπορούσε να προκαλέσει και να κερδίσει κέρδη χαμηλότερα από ό, τι ακόμα και οι πιο στοιχειώδεις επιθέσεις παιδιών. ήταν ανυπόμονος για τους ισχυρισμούς ότι η WannaCry ήταν μια επιχείρηση Lazarus. "Δεν υπάρχει λογική λογική υπεράσπιση της θεωρίας ότι ο μεθοδικός [Λάζαρος], γνωστός για στοχοθετημένες επιθέσεις με εξατομικευμένο λογισμικό, θα ξεκίνησε ξαφνικά μια παγκόσμια εκστρατεία που εξαρτάται από τα μόλις λειτουργικά ransomware" [28].
Κάποιος δεν θα το ξέρει ποτέ από τις ειδήσεις, αλλά η απόδοση του κυβερνοχώρου είναι σπάνια απόλυτη. Ο Hal Berghel, από το Τμήμα Επιστήμης Υπολογιστών του Πανεπιστημίου της Νεβάδα, σχολιάζει την «απουσία λεπτομερών στρατηγικών για την παροχή δικαιολογημένης, τεκμηριωμένης κυβερνητικής διάδοσης». Υπάρχει ένας λόγος γι 'αυτό: δεν υπάρχει κανένας. Το πιο σημαντικό που έχουμε είναι η ενημερωμένη γνώμη. "Η βεβαιότητα με την οποία οι κυβερνητικοί αξιωματούχοι και τα μέσα ενημέρωσης αποδίδουν φταίει σε υψηλού επιπέδου κυβερνοεπιτάξεις στους αντιληπτους εχθρούς θα πρέπει τουλάχιστον να εγείρει ερωτήσεις. "Επομένως, κάθε φορά που ένας πολιτικός, ένας αξιωματικός ή ένας διευθυντής προσπαθεί να αποδώσει κάτι σε μια ή την άλλη ομάδα, η πρώτη μας κλίση πρέπει πάντα να είναι να αναζητούμε σημεία απόκλισης απόδοσης, γνωσιακή προκατάληψη, πολιτισμική προκατάληψη, γνωσιακή δυσαρέσκεια κ.ο.κ. Η πρώτη μας αρχή πρέπει να είναι cui bono: Ποια ημερήσια διάταξη είναι κρυμμένα; Ποια συμφέροντα εκπροσωπούνται ή υπερασπίζονται; Ποιο είναι το κίνητρο πίσω από τη δήλωση; Πού είναι τα κίνητρα πίσω από τη διαρροή ή το ρεπορτάζ; Πόσες από τις αξιώσεις έχουν τεκμηριωθεί από ανεξάρτητους ερευνητές; "[29]
Ο ειδικός ασφαλείας πληροφορικής Graham Cluley εγείρει μια σημαντική ερώτηση. «Νομίζω ότι στο σημερινό εχθρικό κλίμα μεταξύ των ΗΠΑ και της Βόρειας Κορέας δεν είναι απρόθυμο να διατηρούν κάποιο σκεπτικισμό σχετικά με το γιατί αυτός ο ισχυρισμός θα μπορούσε να είχε γίνει, και τι μπορεί να έχει ως κίνητρο την αίτηση που πρέπει να γίνουν προς το παρόν.» [30]
Σε όλες τις εμφανίσεις, το WannaCry ήταν το έργο ερασιτεχνικών προγραμματιστών που πήραν μέρος στο λογισμικό NSA που επέτρεψε στο κακόβουλο λογισμικό να εξαπλωθεί σαν πυρκαγιά, αλλά ο δικός τους κώδικας ήταν τόσο άσχημα γραμμένος ώστε να αποτύχει να αποκομίσει κέρδος σε οποιαδήποτε σημαντική προσπάθεια.
WannaCry έχει τις χρήσεις του, όμως. Ο δημόσιος απολογισμός της διοίκησης Trump είναι "περισσότερο για το μήνυμα της διοίκησης ότι η Βόρεια Κορέα είναι επικίνδυνος ηθοποιός απ 'ό, τι για την ασφάλεια στον κυβερνοχώρο", λέει ο Ross Rustici, επικεφαλής της έρευνας Intelligence Cybereason. «Προσπαθούν να βάλουν το έδαφος για να αισθάνονται οι άνθρωποι ότι η Βόρεια Κορέα αποτελεί απειλή για την πατρίδα» [31]. Είναι μέρος μιας εκστρατείας της διοίκησης να πατάξει το κοινό στη στήριξη σκληρών μέτρων ή πιθανώς ακόμη και στρατιωτικής δράσης κατά Βόρεια Κορέα.
Σημειώσεις:
[1] Thomas P. Bossert, "Είναι Επίσημο: Η Βόρεια Κορέα είναι πίσω από την WannaCry," Wall Street Journal, "19 Δεκεμβρίου 2017.
[2] "Ενημέρωση τύπου σχετικά με την απόδοση της επίθεσης malware WannaCry στη Βόρεια Κορέα", Whitehouse.gov, 19 Δεκεμβρίου 2017.
[3] "Ο WannaCry και ο όμιλος Lazarus - ο σύνδεσμος που λείπει"; SecureList, 15 Μαΐου 2017.
[4] James Scott, "Υπάρχει απόδειξη ότι η Βόρεια Κορέα ξεκίνησε την επίθεση WannaCry; Οχι τόσο γρήγορα! - μια προειδοποίηση ενάντια στην πρόωρη, ασαφή και αποστασιοποιητική απόδοση ", Ινστιτούτο Τεχνολογίας Υποδομής Ζωτικής Σημασίας, 23 Μαΐου 2017.
[5] Έντουαρντ Κόβατς, "Οι αντιδράσεις της βιομηχανίας στις ΗΠΑ κατηγορούν τη Βόρεια Κορέα για την WannaCry", Εβδομάδα Ασφάλειας, 22 Δεκεμβρίου 2017.
[6] "WannaCry: Οι επιθέσεις Ransomware δείχνουν ισχυρούς δεσμούς με τον όμιλο Lazarus", επίσημο blog της Symantec, 22 Μαΐου 2017.
[7] Ο Gregory Elich, "Ποιος ήταν πίσω από την Cyberattack στη Sony;" Counterpunch, 30 Δεκεμβρίου 2014.
[8] Ο David Gilbert, ο Gareth Platt, "John McAfee:" Ξέρω ποιος είχε χάσει τη Sony Pictures - και δεν ήταν η Βόρεια Κορέα ", International Business Times, 19 Ιανουαρίου 2015.
[9] Amanda Rousseau, "WCry / WanaCry Ransomware Τεχνική Ανάλυση", Endgame, 14 Μαΐου 2017.
[10] Peter Stephenson, "WannaCry: Δεν είμαι πεπεισμένος Kim Dunnit, αλλά ένας Ρώσος ...", SC Media, 21 Μαΐου 2017.
[11] Ομάδα αναλυτών ψηφιακών σκιών, "WannaCry: Ανάλυση ανταγωνιστικών υποθέσεων", Ψηφιακές σκιές, 18 Μαΐου 2017.
[12] Patrick Howell O'Neill, "Ερευνητές: WannaCry Ransomware Shares Code με βορειοκορεατικό κακόβουλο λογισμικό", Cyberscoop, 15 Μαΐου 2017.
[13] Alan Woodward, "Η απόδοση είναι δύσκολη - σκεφτείτε όλες τις αποδείξεις", Cyber Matters, 24 Μαΐου 2017.
[14] Thomas P. Bossert, "Είναι Επίσημο: Η Βόρεια Κορέα είναι πίσω από το WannaCry," Wall Street Journal, "19 Δεκεμβρίου 2017.
[15] Luke Somerville, Αβέλ Τόρο, "Ανάλυση μετά την έξαρση της WannaCry", Forcepoint, 16 Μαΐου 2017.
Sarah Maloney, "WannaCry / WCry / Προφίλ WannaCrypt Attack", Cybereason, 16 Μαΐου 2017.
Rohit Langde, "WannaCry Ransomware: Μια λεπτομερής ανάλυση της επίθεσης", Τεχνική, 26 Σεπτεμβρίου 2017.
[16] Eduard Kovacs, "Το WannaCry δεν ταιριάζει με το στυλ της Βόρειας Κορέας, Ενδιαφέροντα: Εμπειρογνώμονες", Εβδομάδα Ασφάλειας, 19 Μαΐου 2017.
[17] "Τεχνική ανάλυση του WannaCry Ransomware", LogRhythm, 16 Μαΐου 2017.
[18] Ομάδα αναλυτών ψηφιακών σκιών, "WannaCry: Ανάλυση ανταγωνιστικών υποθέσεων", Ψηφιακές σκιές, 18 Μαΐου 2017.
[19] Jon Condra, John Costello, Sherman Chu, "Η γλωσσολογική ανάλυση των μηνυμάτων WansCry Ransomware προτείνει συγγραφείς κινέζικης συζήτησης", Flashpoint, 25 Μαΐου 2017.
[20] Alan Woodward, "Η απόδοση είναι δύσκολη - σκεφτείτε όλες τις αποδείξεις", Cyber Matters, 24 Μαΐου 2017.
[21] Erika Noerenberg, Andrew Costis, Nathanial Quist, "Τεχνική ανάλυση του WannaCry Ransomware", LogRhythm, 16 Μαΐου 2017.
[22] James Scott, "Υπάρχει απόδειξη ότι η Βόρεια Κορέα ξεκίνησε την επίθεση WannaCry; Οχι τόσο γρήγορα! - μια προειδοποίηση ενάντια στην πρόωρη, ασαφή και αποστασιοποιητική απόδοση ", Ινστιτούτο Τεχνολογίας Υποδομής Ζωτικής Σημασίας, 23 Μαΐου 2017.
[23] Eduard Kovacs, "Το WannaCry δεν ταιριάζει με το στυλ της Βόρειας Κορέας, τα ενδιαφέροντα: Εμπειρογνώμονες", Εβδομάδα Ασφάλειας, 19 Μαΐου 2017.
[24] Peter Stephenson, "WannaCry: Δεν είμαι πεπεισμένος Kim Dunnit, αλλά ένας Ρώσος ...", SC Media, 21 Μαΐου 2017.
[25] Rohit Langde, "WannaCry Ransomware: Μια λεπτομερής ανάλυση της επίθεσης", Τεχνική, 26 Σεπτεμβρίου 2017.
[26] Jesse Dunietz, "Το ατελείωτο έγκλημα: Πώς οι χάκερ WannaCry θα μπορούσαν να πάρουν Nabbed," Scientific American, 16 Αυγούστου 2017.
[27] Andy Greenberg, "Οι χάκερ WansCry Ransomware έκαναν μερικά βασικά λάθη", Ενσύρματο, 15 Μαΐου 2017.
[28] Τζέιμς Σκοτ, "WannaCry Ransomware & οι κίνδυνοι της Shoddy Απόδοση: Είναι οι Ρώσοι! No Wait, είναι οι Βορειοκορεάτες! "Ινστιτούτο Τεχνολογίας Υποδομής Ζωτικής Σημασίας, 18 Μαΐου 2017.
[29] Hal Berghel, "Σχετικά με το πρόβλημα της (Cyber) Απόδοσης", Computer - IEEE Computer Society, Μάρτιος 2017.
[30] Scott Carey, "Πρέπει να πιστεύουμε στο Λευκό Οίκο όταν λέει ότι η Βόρεια Κορέα είναι πίσω από το WannaCry;" Computer World, 20 Δεκεμβρίου 2017.
[31] John P. Mello Jr., "Τα δάχτυλα των ΗΠΑ Βόρεια Κορέα για επιδημία WannaCry", Tech News World, 20 Δεκεμβρίου 2017.
Συμμετοχή στη συζήτηση στο Facebook
Περισσότερα άρθρα από: GREGORY ELICH
Στις 19 Δεκεμβρίου, σε ένα περιοδικό Wall Street Journal που επέστησε μεγάλη προσοχή, ο Homeland Security Advisor Tom Bossert υποστήριξε ότι η Βόρεια Κορέα ήταν "άμεσα υπεύθυνη" για το cyberattack της WannaCry που έπληξε περισσότερους από 300.000 υπολογιστές παγκοσμίως. Ο ιός κρυπτογράφησε αρχεία σε μολυσμένους υπολογιστές και απαίτησε πληρωμή σε αντάλλαγμα για υποτιθέμενη παροχή ενός κλειδιού αποκρυπτογράφησης για να επιτρέψει στους χρήστες να ανακτήσουν πρόσβαση σε κλειδωμένα αρχεία. Ο Μποσερτ δήλωσε ότι η Βόρεια Κορέα "χρησιμοποιεί cyberattacks για να χρηματοδοτήσει την απερίσκεπτη συμπεριφορά της και να προκαλέσει διακοπές σε ολόκληρο τον κόσμο." [1]
Σε μια συνέντευξη Τύπου την ίδια μέρα, ο Μποσέρ ανακοίνωσε ότι η καταχώριση έγινε «με αποδεικτικά στοιχεία» και ότι η WannaCry "κατευθύνθηκε από την κυβέρνηση της Βόρειας Κορέας" και πραγματοποιήθηκε από "φορείς για λογαριασμό τους, μεσάζοντες". που οδήγησε στις ΗΠΑ στο συμπέρασμα αυτό; Ο Μπόσσερτ δεν είπε, ίσως υπενθυμίζοντας την γελοιοποίηση που χαιρέτισε την άγνοια της αναφοράς του FBI και της Υπηρεσίας Εσωτερικής Ασφάλειας της Βουδαπέστης σχετικά με την πειρατεία της Δημοκρατικής Εθνικής Επιτροπής. [2] "Ενημέρωση τύπου σχετικά με την απόδοση της επίθεσης malware WannaCry στη Βόρεια Κορέα", Whitehouse.gov, 19 Δεκεμβρίου 2017.
Το επίκεντρο του ισχυρισμού της Βρετανικής υπαιτιότητας είναι η ομοιότητα στον κώδικα μεταξύ του κακόβουλου λογισμικού Contopee, το οποίο ανοίγει την πρόσβαση backdoor σε έναν μολυσμένο υπολογιστή και κωδικοποιεί μια πρώιμη παραλλαγή του WannaCry. [3]
Η Contopee έχει συνδεθεί με τον όμιλο Lazarus, μια οργάνωση εγκληματικότητας στον κυβερνοχώρο, που ορισμένοι πιστεύουν ότι ξεκίνησε το hack της Sony, βασισμένο στα εργαλεία λογισμικού που χρησιμοποιήθηκαν σε αυτή την επίθεση. Δεδομένου ότι η Βόρεια Κορέα θεωρείται ευρέως ότι βρίσκεται πίσω από το cyberattack στη Sony, με την πρώτη ματιά φαίνεται ότι σφραγίζει το επιχείρημα.
Είναι λογικό επιχείρημα, αλλά βασίζεται σε έγκυρες εγκαταστάσεις; Λίγα είναι γνωστά για τον Λάζαρο, εκτός από τις πράξεις που αποδίδονται σε αυτόν. Η σχέση μεταξύ Lazarus και Βόρειας Κορέας είναι μια υπόθεση που βασίζεται σε περιορισμένα στοιχεία. Μπορεί ή δεν μπορεί να είναι αλήθεια, αλλά ο προφανής δεσμός είναι πολύ πιο αδύναμος από την πεποίθηση των μέσων μαζικής ενημέρωσης ότι θα πιστεύει κανείς. Ο Λάζαρος φαίνεται να είναι ένας ανεξάρτητος οργανισμός που ενδεχομένως εδρεύει στην Κίνα, τον οποίο η Βόρεια Κορέα μπορεί ή δεν μπορεί να έχει συνάψει για να εκτελέσει ορισμένες πράξεις. Αυτό δεν σημαίνει απαραίτητα ότι κάθε ενέργεια - ή ακόμα και οποιαδήποτε ενέργεια - ο Λάζαρος εκτελεί είναι στη διοίκηση της Βόρειας Κορέας.
Στο μυαλό του Bossert, καθώς και εκείνο των δημοσιογράφων των μέσων μαζικής ενημέρωσης, ο Lazarus - οι ενδιάμεσοι Bossert αναφέρεται - και η Βόρεια Κορέα είναι συνώνυμοι όταν πρόκειται για επιχειρήσεις στον κυβερνοχώρο. Η Βόρεια Κορέα δίνει τις εντολές και ο Λάζαρος τις εκτελεί. Ο James Scott, ανώτερος συνεργάτης του Ινστιτούτου Τεχνολογίας Υποδομών Ζωτικής Σημασίας, σημειώνει ότι "οι εικασίες σχετικά με το WannaCry αποδίδουν το κακόβουλο λογισμικό στον Όμιλο Lazarus και όχι στη Βόρεια Κορέα και ακόμη και αυτές οι συνδέσεις είναι πρόωρες και δεν είναι πλήρως πειστικές. Ο ίδιος ο Λάζαρος δεν αποδείχθηκε ποτέ οριστικά ως βιώσιμη απειλή (APT) που χορηγήθηκε από την Βόρειο Κορέα. στην πραγματικότητα, μια πληθώρα στοιχείων υποδηλώνει ότι ο όμιλος Lazarus μπορεί να είναι ένα εκλεπτυσμένο, καλά εξοπλισμένο και επεκτατικό κυβερνο-εγκληματικό και περιστασιακό κυβερνο-μισθοφορικό συλλογικό όργανο. "Επιπλέον, ο Scott προσθέτει,[4]
Η ύπαρξη ή μη σύνδεσης μεταξύ του Λαζάρου και της Βόρειας Κορέας έχει ελάχιστη σημασία όσον αφορά μια συγκεκριμένη επίθεση. Ο Joseph Carson της Thycotic υπογραμμίζει ότι είναι σημαντικό να είναι σαφές ότι ο [Λάζαρος] είναι μια ομάδα και τα κίνητρα μπορούν να αλλάξουν ανάλογα με το ποιος πληρώνει. Έχω βρει κατά την έρευνα ομάδες hacking μπορούν μια μέρα να εργάζονται για μια κυβέρνηση κάτω από ένα ψευδώνυμο και ένα άλλο χρησιμοποιώντας ένα διαφορετικό ψευδώνυμο. Αυτό σημαίνει ότι η σύνδεση στον κυβερνοχώρο δεν σημαίνει τίποτα ». [5]
Θεωρείται ιδιαίτερα δριμύ αποδεικτικό στοιχείο ότι ορισμένα από τα εργαλεία που χρησιμοποιούνται σε μια πρώιμη εκδοχή του WannaCry χαρακτηριστικά μετοχή με εκείνες που αναπτύχθηκαν στο cyberattack σχετικά με τη Sony. [6] Ωστόσο, υπάρχει αρκετή αιτία αμφιβολιών για το ρόλο της Βόρειας Κορέας στο χάκερ της Sony, όπως έχω ήδη γράψει. [7] Μετά την παραβίαση της Sony, ο επιχειρηματίας IT John McAfee αποκάλυψε ότι είχε επαφή με την ομάδα που επιτέθηκε στη Sony. «Έχει να κάνει με μια ομάδα χάκερ» υποκινούνται από αντιπάθεια της βιομηχανίας ταινίας «τον έλεγχο του περιεχομένου της τέχνης», είπε, και το FBI κακώς αποδίδει την επίθεση στη Βόρεια Κορέα. [8]
Εάν η απόδοση του hack της Sony στη Βόρεια Κορέα δεν συγκρατηθεί, τότε η σύνδεση με βάση τη χρήση του εργαλείου καταρρέει.
Μόλις αναπτυχθεί το κακόβουλο λογισμικό, συχνά εμφανίζεται προς πώληση στο Dark Web, όπου μπορεί να αγοραστεί από κυβερνοεγκληματίες. Η επαναχρησιμοποίηση κώδικα αποτελεί μέτρο εξοικονόμησης χρόνου για την οικοδόμηση νέων απειλών. Πράγματι, το κακόβουλο λογισμικό μπορεί να βρει το δρόμο του στην αγορά αρκετά γρήγορα και σχεδόν το συντομότερο, όταν η WannaCry είχε καταστροφές τον Μάιο, αναφέρθηκε ότι «οι ερευνητές βρίσκουν ήδη παραλλαγές» της WannaCry "σε άγρια κατάσταση". [9]
Σύμφωνα με τον Peter Stephenson της SC Media, "Η πιο επικρατέστερη [θεωρία] χρησιμοποιεί μπλοκ κώδικα που ήταν μέρος γνωστών κορεατικών αμυχών που εμφανίζονται στον κώδικα WannaCry ως δικαιολογία για την επιβολή των επιθέσεων στη NK. Αυτό δεν είναι αρκετό. Αυτά τα μπλοκ κώδικα είναι άμεσα διαθέσιμα στο υπόγειο και επαναχρησιμοποιούνται τακτικά. " [10]
Η συνηθισμένη χρήση εργαλείων σημαίνει λιγότερο από ό, τι μας οδηγεί να πιστεύουμε. "Ενώ το κακόβουλο λογισμικό μπορεί αρχικά να αναπτυχθεί και να χρησιμοποιηθεί από έναν μόνο ηθοποιό," εξηγεί το Digital Shadows, "αυτό δεν σημαίνει ότι θα παραμείνει μόνιμα μοναδικό σε αυτόν τον ηθοποιό. Τα δείγματα κακόβουλου λογισμικού ενδέχεται να διαρρεύσουν τυχαία ή σκόπιμα, να κλαπούν, να πωλούνται ή να χρησιμοποιούνται σε ανεξάρτητες επιχειρήσεις από μεμονωμένα μέλη της ομάδας. " [11]
"Ο κοινόχρηστος κώδικας δεν είναι ο ίδιος με αυτόν που αποδίδεται. Ο κώδικας μπορεί να ξαναγραφεί και να διαγραφεί από οποιονδήποτε και ο κοινός κώδικας συχνά επαναχρησιμοποιείται ", παρατηρεί ο Patrick Howell O'Neill της Cyberscoop. "Η ίδια τεχνική θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για να πλαισιώσει μια άλλη ομάδα ως υπεύθυνη για μια αμυχή αλλά, παρά τις πολλές πρόσφατες εικασίες, δεν υπάρχει καμία οριστική απόδειξη." [12]
Κανένας από τον κοινόχρηστο κώδικα δεν ήταν παρών στην εκτεταμένη επίθεση της WannaCry στις 12 Μαΐου. Παρόλο που είναι πολύ πιθανό ότι ο ίδιος ηθοποιός ήταν πίσω από τις πρώτες παραλλαγές του WannaCry και την έκδοση του Μαΐου, δεν είναι βέβαιο. Ο Alan Woodward, σύμβουλος για την ασφάλεια του κυβερνοχώρου στην Ευρωπόλ, επισημαίνει: "Είναι πολύ πιθανό ακόμα και μια σχετικά άπειρη ομάδα να αποκτήσει το κακόβουλο ωφέλιμο φορτίο WannaCry και να έχει ανασυσκευάσει αυτό. Ως εκ τούτου, το μόνο πράγμα που πραγματικά συνδέει τις επιθέσεις Μαΐου με τις προηγούμενες επιθέσεις WannaCry είναι το ωφέλιμο φορτίο, το οποίο οι εγκληματίες συχνά αντιγράφουν. " [13]
Η πιο καταστροφική συνιστώσα της WannaCry που χρησιμοποιήθηκε στην επίθεσή της στις 12 Μαΐου είναι η EternalBlue, μια εκμετάλλευση των τρωτών σημείων των Windows που αναπτύχθηκε από την Υπηρεσία Εθνικής Ασφάλειας και διαρρεύστηκε από τους Shadow Brokers. Ο NSA ενημέρωσε τη Microsoft για την ευπάθεια μόνο αφού έμαθε για την κλοπή του λογισμικού. Σύμφωνα με τον Bossert, ο NSA ενημερώνει τους κατασκευαστές λογισμικού για το 90% περίπου του χρόνου, όταν ανακαλύπτει μια ευπάθεια στο λειτουργικό λογισμικό. Διατηρεί ήσυχο το υπόλοιπο δέκα τοις εκατό, ώστε να μπορεί να «χρησιμοποιήσει αυτά τα τρωτά σημεία για να αναπτύξει εκμεταλλεύσεις με σκοπό την εθνική ασφάλεια για την ταξινομημένη δουλειά που κάνουμε». [14]Ο NSA σκόπιμα αφήνει σκόπιμα άτομα και οργανισμούς σε όλο τον κόσμο να εκτίθενται σε ενδεχόμενες παραβιάσεις της ασφάλειας, ώστε να μπορεί να διεξάγει τις δικές του δραστηριότητες στο κυβερνοχώρο. Αυτό είναι λιγότερο από καθησυχαστικό.
Η παραλλαγή May της WannaCry έθεσε επίσης σε εφαρμογή το DoublePulsar, το οποίο είναι ένα εμφυτευμένο backdoor που αναπτύχθηκε από το NSA και επιτρέπει σε έναν εισβολέα να αποκτήσει τον πλήρη έλεγχο ενός συστήματος και να φορτώσει εκτελέσιμο κακόβουλο λογισμικό.
Τα δύο συστατικά που έχουν αναπτυχθεί από την NSA είναι αυτά που επέτρεψαν στη WannaCry να μετατραπεί σε σφοδρότητα τον περασμένο Μάιο. Μετά την φόρτωση, το EternalBlue συνεχίζει να μολύνει κάθε άλλο ευάλωτο υπολογιστή στο ίδιο δίκτυο. Παράλληλα παράγει πολλές χιλιάδες τυχαίες διευθύνσεις IP και εκκινεί 128 σπειρώματα σε διαστήματα δύο δευτερολέπτων, αναζητώντας ευπάθειες σε υπολογιστές που μπορούν να εκμεταλλευτούν σε κάθε μια από τις παραγόμενες εξωτερικές διευθύνσεις IP. [15]
Η Κίνα και η Ρωσία ήταν από τα έθνη που επηρεάστηκαν περισσότερο από το κακόβουλο λογισμικό. [16] Η WannaCry είχε αρχικά στοχεύσει στα ρωσικά συστήματα, κάτι που φαίνεται να είναι περίεργο για τη Βόρεια Κορέα, δεδομένου ότι η Ρωσία και η Κίνα είναι τα πιο κοντινά πράγματα που έχει στους συμμάχους της. [17]
Η Digital Shadows αναφέρει ότι «το κακόβουλο λογισμικό εμφανίστηκε να εξαπλώνεται ουσιαστικά αδιακρίτως χωρίς έλεγχο από τους φορείς» και μια πιο στοχοθετημένη προσέγγιση «θα ήταν πιο συνεπής με τις δραστηριότητες ενός εξειδικευμένου εγκληματικού εξοπλισμού ή ενός τεχνικά ικανού εθνικού κράτους». [18]
Το Flashpoint ανέλυσε τη σημείωση λύτρας που εμφανίστηκε στους μολυσμένους υπολογιστές. Υπήρχαν δύο κινεζικές εκδόσεις και μια αγγλική έκδοση. Τα κινεζικά κείμενα γράφτηκαν από κάποιον που είναι άπταιστα και οι Άγγλοι από κάποιον με ισχυρή αλλά ατελής γνώση της αγγλικής γλώσσας. Οι σημειώσεις της Ransom σε άλλες γλώσσες προφανώς μεταφράστηκαν από την αγγλική έκδοση χρησιμοποιώντας τον μεταφραστή Google. [19] Έχει επισημανθεί ότι αυτό το γεγονός δεν διαψεύδει την αμερικανική απόδοση της Βόρειας Κορέας, καθώς αυτό το έθνος θα μπορούσε να έχει προσλάβει Κινέζους κυβερνοεγκληματίες. Αλήθεια, αλλά στη συνέχεια η Βόρεια Κορέα δεν έχει μοναδική ικανότητα να το κάνει. Εάν είναι τόσο τείνει, κάποιος θα μπορούσε να συρρικνωθεί κινεζικά προγραμματιστές κακόβουλου λογισμικού Ή οι κυβερνοεγκληματίες θα μπορούσαν να ενεργήσουν μόνοι τους.
Οι κοσμοπολίτες Lazarus και Βόρειας Κορέας έχουν φήμη για την ανάπτυξη περίπλοκου κώδικα. Το σήμα κατατεθέν της WannaCry, ωστόσο, είναι η απλή πικρία του, που απαιτεί την κυκλοφορία μιας σειράς νέων εκδόσεων σε αρκετά γρήγορη διαδοχή. Ο Alan Woodward πιστεύει ότι ο κακώς σχεδιασμένος κώδικας της WannaCry αποκαλύπτει ότι είχε γραφτεί από έναν "λιγότερο από έμπειρο προγραμματιστή κακόβουλου λογισμικού" [20].
Σημαντικές πτυχές του κώδικα ήταν τόσο άσχημα για το ότι είναι δύσκολο να φανταστεί κανείς πώς θα μπορούσε να είναι υπεύθυνη κάποια σοβαρή οργάνωση.
Οι ειδικοί ασφαλείας της πληροφορικής χρησιμοποιούν εικονικές μηχανές ή sandboxes για την ασφαλή δοκιμή και ανάλυση κώδικα κακόβουλου λογισμικού. Ένα καλοσχεδιασμένο κομμάτι κακόβουλου λογισμικού θα περιλαμβάνει λογική για να ανιχνεύει τον τύπο περιβάλλοντος που εκτελεί και να μεταβάλλει την απόδοσή του σε περιβάλλον εικονικής μηχανής (VM) ώστε να φαίνεται καλοήθη. Η WannaCry δεν έλειπε ιδιαίτερα από την άποψη αυτή. "Οι συγγραφείς δεν φάνηκε να ανησυχούν για την ανατροπή της ανάλυσης, καθώς τα δείγματα που αναλύθηκαν δεν περιείχαν καθόλου κωδικοποίηση, αντι-αποσφαλμάτωση ή VM-aware", σημειώνει τα LogRhythm Labs. [21]
Ο James Scott ισχυρίζεται ότι "κάθε επίθεση της WannaCry στερείται της μυστικότητας, της πολυπλοκότητας και των πόρων που χαρακτηρίζουν την ίδια την υποομάδα Lazarus ή τον Λάζαρο ως σύνολο. Αν και οι δύο ήταν πίσω από το WannaCry, οι επιθέσεις πιθανότατα θα ήταν πιο στοχοθετημένες, θα είχαν μεγαλύτερο αντίκτυπο, θα ήταν ανθεκτικές, θα ήταν πιο εξελιγμένες και θα είχαν κερδίσει σημαντικά μεγαλύτερα κέρδη. "Το EternalBlue exploit ήταν πολύτιμο για να χάσει" σε μια παραγωγική και μη κερδοφόρα εκστρατεία "όπως η επίθεση της WannaCry στις 12 Μαΐου. Αντίθετα, το Bluenoroff "προτιμά να ενσωματώνει σιωπηρά στις διαδικασίες, να τις εξωθήσει και να εξαφανιστεί αόριστα αφού κλέβει τεράστια δημοσιονομικά κέρδη" [22].Ο Bogdan Botezatu του Bitdefender συμφωνεί. "Η επίθεση δεν ήταν στοχευμένη και δεν υπήρχε σαφές κέρδος γι 'αυτούς. Είναι αμφίβολο ότι θα χρησιμοποιούσαν μια τόσο ισχυρή εκμετάλλευση για οτιδήποτε άλλο εκτός από την κατασκοπεία ». [23]
Το WannaCry περιελάμβανε ένα "διακόπτη σκοτώματος", προφανώς προοριζόμενο ως ένα ελαφρώς σκεπτόμενο χαρακτηριστικό anti-VM. "Για τη ζωή μου", σχολιάζει ο Peter Stephenson, "δεν μπορώ να δω γιατί θα πίστευαν ότι θα λειτουργούσε." [24] Όταν το λογισμικό εκτελείται, επιχειρεί πρώτα να συνδεθεί με ένα όνομα κεντρικού υπολογιστή που δεν έχει εγγραφεί. Το κακόβουλο πρόγραμμα θα προχωρήσει στην εκτέλεση αν ο τομέας δεν ήταν έγκυρος. Ένας ερευνητής στον κυβερνοχώρο κατάφερε να απενεργοποιήσει τη WannaCry καταγράφοντας τον τομέα μέσω του NameCheap.com, κλείνοντας με ευκολία τη δυνατότητα της WannaCry να μολύνει άλλους υπολογιστές. [25]
Μόλις η WannaCry μολύνει έναν υπολογιστή, απαίτησε ένα λύτριο $ 300 σε bitcoin για να απελευθερώσει τα αρχεία που είχε κρυπτογραφηθεί. Μετά από τρεις ημέρες, η τιμή διπλασιάστηκε. Το όλο θέμα της WannaCry ήταν να παράγει εισόδημα και είναι εδώ όπου ο κώδικας ήταν πιο ανάρμοστη.
Στην ιδανική περίπτωση, τα ransomware όπως το WannaCry θα χρησιμοποιούσαν έναν νέο αριθμό λογαριασμού για κάθε μολυσμένο υπολογιστή, για να εξασφαλίσουν καλύτερα την ανωνυμία. Αντ 'αυτού, WannaCry σκληρό κωδικοποιημένο μόνο τρεις αριθμούς λογαριασμού, η οποία βασικά πληροφόρησε τις αρχές τι λογαριασμούς για την παρακολούθηση. [26] Είναι ένα εκπληκτικό botch.
Απίστευτα, η WannaCry δεν είχε την ικανότητα αυτόματης αναγνώρισης των θυμάτων που πλήρωσαν τα λύτρα. Αυτό σήμαινε ότι ο προσδιορισμός της πηγής κάθε πληρωμής απαιτούσε χειρωνακτική προσπάθεια, ένα αποθαρρυντικό έργο δεδομένου του αριθμού των μολυσμένων υπολογιστών. [27] Αναπόφευκτα, τα κλειδιά αποκρυπτογράφησης δεν στάλθηκαν στα πληρώματα που πληρώνονταν και όταν η λέξη βγήκε, δεν υπήρχε κανένα κίνητρο για να πληρώσει κανείς άλλος.
Σύμφωνα με την εκτίμηση του James Scott, "Η επίθεση WannaCry προσέλκυσε πολύ υψηλή δημοσιότητα και πολύ υψηλή ορατότητα στην επιβολή του νόμου, ενώ παράλληλα προκάλεσε την ελάχιστη ζημιά σε μια παρόμοια εκστρατεία που το μέγεθος θα μπορούσε να προκαλέσει και να κερδίσει κέρδη χαμηλότερα από ό, τι ακόμα και οι πιο στοιχειώδεις επιθέσεις παιδιών. ήταν ανυπόμονος για τους ισχυρισμούς ότι η WannaCry ήταν μια επιχείρηση Lazarus. "Δεν υπάρχει λογική λογική υπεράσπιση της θεωρίας ότι ο μεθοδικός [Λάζαρος], γνωστός για στοχοθετημένες επιθέσεις με εξατομικευμένο λογισμικό, θα ξεκίνησε ξαφνικά μια παγκόσμια εκστρατεία που εξαρτάται από τα μόλις λειτουργικά ransomware" [28].
Κάποιος δεν θα το ξέρει ποτέ από τις ειδήσεις, αλλά η απόδοση του κυβερνοχώρου είναι σπάνια απόλυτη. Ο Hal Berghel, από το Τμήμα Επιστήμης Υπολογιστών του Πανεπιστημίου της Νεβάδα, σχολιάζει την «απουσία λεπτομερών στρατηγικών για την παροχή δικαιολογημένης, τεκμηριωμένης κυβερνητικής διάδοσης». Υπάρχει ένας λόγος γι 'αυτό: δεν υπάρχει κανένας. Το πιο σημαντικό που έχουμε είναι η ενημερωμένη γνώμη. "Η βεβαιότητα με την οποία οι κυβερνητικοί αξιωματούχοι και τα μέσα ενημέρωσης αποδίδουν φταίει σε υψηλού επιπέδου κυβερνοεπιτάξεις στους αντιληπτους εχθρούς θα πρέπει τουλάχιστον να εγείρει ερωτήσεις. "Επομένως, κάθε φορά που ένας πολιτικός, ένας αξιωματικός ή ένας διευθυντής προσπαθεί να αποδώσει κάτι σε μια ή την άλλη ομάδα, η πρώτη μας κλίση πρέπει πάντα να είναι να αναζητούμε σημεία απόκλισης απόδοσης, γνωσιακή προκατάληψη, πολιτισμική προκατάληψη, γνωσιακή δυσαρέσκεια κ.ο.κ. Η πρώτη μας αρχή πρέπει να είναι cui bono: Ποια ημερήσια διάταξη είναι κρυμμένα; Ποια συμφέροντα εκπροσωπούνται ή υπερασπίζονται; Ποιο είναι το κίνητρο πίσω από τη δήλωση; Πού είναι τα κίνητρα πίσω από τη διαρροή ή το ρεπορτάζ; Πόσες από τις αξιώσεις έχουν τεκμηριωθεί από ανεξάρτητους ερευνητές; "[29]
Ο ειδικός ασφαλείας πληροφορικής Graham Cluley εγείρει μια σημαντική ερώτηση. «Νομίζω ότι στο σημερινό εχθρικό κλίμα μεταξύ των ΗΠΑ και της Βόρειας Κορέας δεν είναι απρόθυμο να διατηρούν κάποιο σκεπτικισμό σχετικά με το γιατί αυτός ο ισχυρισμός θα μπορούσε να είχε γίνει, και τι μπορεί να έχει ως κίνητρο την αίτηση που πρέπει να γίνουν προς το παρόν.» [30]
Σε όλες τις εμφανίσεις, το WannaCry ήταν το έργο ερασιτεχνικών προγραμματιστών που πήραν μέρος στο λογισμικό NSA που επέτρεψε στο κακόβουλο λογισμικό να εξαπλωθεί σαν πυρκαγιά, αλλά ο δικός τους κώδικας ήταν τόσο άσχημα γραμμένος ώστε να αποτύχει να αποκομίσει κέρδος σε οποιαδήποτε σημαντική προσπάθεια.
WannaCry έχει τις χρήσεις του, όμως. Ο δημόσιος απολογισμός της διοίκησης Trump είναι "περισσότερο για το μήνυμα της διοίκησης ότι η Βόρεια Κορέα είναι επικίνδυνος ηθοποιός απ 'ό, τι για την ασφάλεια στον κυβερνοχώρο", λέει ο Ross Rustici, επικεφαλής της έρευνας Intelligence Cybereason. «Προσπαθούν να βάλουν το έδαφος για να αισθάνονται οι άνθρωποι ότι η Βόρεια Κορέα αποτελεί απειλή για την πατρίδα» [31]. Είναι μέρος μιας εκστρατείας της διοίκησης να πατάξει το κοινό στη στήριξη σκληρών μέτρων ή πιθανώς ακόμη και στρατιωτικής δράσης κατά Βόρεια Κορέα.
Σημειώσεις:
[1] Thomas P. Bossert, "Είναι Επίσημο: Η Βόρεια Κορέα είναι πίσω από την WannaCry," Wall Street Journal, "19 Δεκεμβρίου 2017.
[2] "Ενημέρωση τύπου σχετικά με την απόδοση της επίθεσης malware WannaCry στη Βόρεια Κορέα", Whitehouse.gov, 19 Δεκεμβρίου 2017.
[3] "Ο WannaCry και ο όμιλος Lazarus - ο σύνδεσμος που λείπει"; SecureList, 15 Μαΐου 2017.
[4] James Scott, "Υπάρχει απόδειξη ότι η Βόρεια Κορέα ξεκίνησε την επίθεση WannaCry; Οχι τόσο γρήγορα! - μια προειδοποίηση ενάντια στην πρόωρη, ασαφή και αποστασιοποιητική απόδοση ", Ινστιτούτο Τεχνολογίας Υποδομής Ζωτικής Σημασίας, 23 Μαΐου 2017.
[5] Έντουαρντ Κόβατς, "Οι αντιδράσεις της βιομηχανίας στις ΗΠΑ κατηγορούν τη Βόρεια Κορέα για την WannaCry", Εβδομάδα Ασφάλειας, 22 Δεκεμβρίου 2017.
[6] "WannaCry: Οι επιθέσεις Ransomware δείχνουν ισχυρούς δεσμούς με τον όμιλο Lazarus", επίσημο blog της Symantec, 22 Μαΐου 2017.
[7] Ο Gregory Elich, "Ποιος ήταν πίσω από την Cyberattack στη Sony;" Counterpunch, 30 Δεκεμβρίου 2014.
[8] Ο David Gilbert, ο Gareth Platt, "John McAfee:" Ξέρω ποιος είχε χάσει τη Sony Pictures - και δεν ήταν η Βόρεια Κορέα ", International Business Times, 19 Ιανουαρίου 2015.
[9] Amanda Rousseau, "WCry / WanaCry Ransomware Τεχνική Ανάλυση", Endgame, 14 Μαΐου 2017.
[10] Peter Stephenson, "WannaCry: Δεν είμαι πεπεισμένος Kim Dunnit, αλλά ένας Ρώσος ...", SC Media, 21 Μαΐου 2017.
[11] Ομάδα αναλυτών ψηφιακών σκιών, "WannaCry: Ανάλυση ανταγωνιστικών υποθέσεων", Ψηφιακές σκιές, 18 Μαΐου 2017.
[12] Patrick Howell O'Neill, "Ερευνητές: WannaCry Ransomware Shares Code με βορειοκορεατικό κακόβουλο λογισμικό", Cyberscoop, 15 Μαΐου 2017.
[13] Alan Woodward, "Η απόδοση είναι δύσκολη - σκεφτείτε όλες τις αποδείξεις", Cyber Matters, 24 Μαΐου 2017.
[14] Thomas P. Bossert, "Είναι Επίσημο: Η Βόρεια Κορέα είναι πίσω από το WannaCry," Wall Street Journal, "19 Δεκεμβρίου 2017.
[15] Luke Somerville, Αβέλ Τόρο, "Ανάλυση μετά την έξαρση της WannaCry", Forcepoint, 16 Μαΐου 2017.
Sarah Maloney, "WannaCry / WCry / Προφίλ WannaCrypt Attack", Cybereason, 16 Μαΐου 2017.
Rohit Langde, "WannaCry Ransomware: Μια λεπτομερής ανάλυση της επίθεσης", Τεχνική, 26 Σεπτεμβρίου 2017.
[16] Eduard Kovacs, "Το WannaCry δεν ταιριάζει με το στυλ της Βόρειας Κορέας, Ενδιαφέροντα: Εμπειρογνώμονες", Εβδομάδα Ασφάλειας, 19 Μαΐου 2017.
[17] "Τεχνική ανάλυση του WannaCry Ransomware", LogRhythm, 16 Μαΐου 2017.
[18] Ομάδα αναλυτών ψηφιακών σκιών, "WannaCry: Ανάλυση ανταγωνιστικών υποθέσεων", Ψηφιακές σκιές, 18 Μαΐου 2017.
[19] Jon Condra, John Costello, Sherman Chu, "Η γλωσσολογική ανάλυση των μηνυμάτων WansCry Ransomware προτείνει συγγραφείς κινέζικης συζήτησης", Flashpoint, 25 Μαΐου 2017.
[20] Alan Woodward, "Η απόδοση είναι δύσκολη - σκεφτείτε όλες τις αποδείξεις", Cyber Matters, 24 Μαΐου 2017.
[21] Erika Noerenberg, Andrew Costis, Nathanial Quist, "Τεχνική ανάλυση του WannaCry Ransomware", LogRhythm, 16 Μαΐου 2017.
[22] James Scott, "Υπάρχει απόδειξη ότι η Βόρεια Κορέα ξεκίνησε την επίθεση WannaCry; Οχι τόσο γρήγορα! - μια προειδοποίηση ενάντια στην πρόωρη, ασαφή και αποστασιοποιητική απόδοση ", Ινστιτούτο Τεχνολογίας Υποδομής Ζωτικής Σημασίας, 23 Μαΐου 2017.
[23] Eduard Kovacs, "Το WannaCry δεν ταιριάζει με το στυλ της Βόρειας Κορέας, τα ενδιαφέροντα: Εμπειρογνώμονες", Εβδομάδα Ασφάλειας, 19 Μαΐου 2017.
[24] Peter Stephenson, "WannaCry: Δεν είμαι πεπεισμένος Kim Dunnit, αλλά ένας Ρώσος ...", SC Media, 21 Μαΐου 2017.
[25] Rohit Langde, "WannaCry Ransomware: Μια λεπτομερής ανάλυση της επίθεσης", Τεχνική, 26 Σεπτεμβρίου 2017.
[26] Jesse Dunietz, "Το ατελείωτο έγκλημα: Πώς οι χάκερ WannaCry θα μπορούσαν να πάρουν Nabbed," Scientific American, 16 Αυγούστου 2017.
[27] Andy Greenberg, "Οι χάκερ WansCry Ransomware έκαναν μερικά βασικά λάθη", Ενσύρματο, 15 Μαΐου 2017.
[28] Τζέιμς Σκοτ, "WannaCry Ransomware & οι κίνδυνοι της Shoddy Απόδοση: Είναι οι Ρώσοι! No Wait, είναι οι Βορειοκορεάτες! "Ινστιτούτο Τεχνολογίας Υποδομής Ζωτικής Σημασίας, 18 Μαΐου 2017.
[29] Hal Berghel, "Σχετικά με το πρόβλημα της (Cyber) Απόδοσης", Computer - IEEE Computer Society, Μάρτιος 2017.
[30] Scott Carey, "Πρέπει να πιστεύουμε στο Λευκό Οίκο όταν λέει ότι η Βόρεια Κορέα είναι πίσω από το WannaCry;" Computer World, 20 Δεκεμβρίου 2017.
[31] John P. Mello Jr., "Τα δάχτυλα των ΗΠΑ Βόρεια Κορέα για επιδημία WannaCry", Tech News World, 20 Δεκεμβρίου 2017.
Συμμετοχή στη συζήτηση στο Facebook
Περισσότερα άρθρα από: GREGORY ELICH
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
skaleadis