Το στοιχείο βρίσκεται στον κώδικα. Ο ερευνητής ασφαλείας της Google, Neel Mehta, ανήρτησε ένα μυστήριο tweet που παραπέμπει σε δύο περιπτώσεις κακόβουλου λογισμικού: Στο WannaCry και σε μια “συμμορία” χάκερς που ονομάζεται Lazarus Group και η οποία έχει συνδεθεί με το καταστροφικό χακάρισμα της Sony το 2014 και με επιθέσεις στο τραπεζικό σύστημα SWIFT που είχε ως αποτέλεσμα στην ιστορική κυβερνο-κλοπή 81 εκατ. δολ. από μια τράπεζα του Μπαγκλαντές. Η ομάδα χάκερς Lazarus φέρεται να είναι επίσης από τη Βόρεια Κορέα, σύμφωνα με αναλύσεις που έχουν πραγματοποιήσει αρκετές εταιρείες ασφαλείας.
Μετά από την ανάρτηση του Mehta, η Kaspersky Lab μελέτησε τον κώδικα, όπως έκανε και ο ερευνητής ασφαλείας της Proofpoint, Darien Huss και ο ιδρυτής της Comae Technologies, Matthieu Suiche. Όλοι τους ασχολούνται ενεργά με την έρευνα και την υπεράσπιση του Διαδικτύου ενάντια στο WannaCry, επομένως το ενδεχόμενο η τελευταία επίθεση να συνδέεται με τη Βόρεια Κορέα κέντρισε το ενδιαφέρον τους.
Όλοι πιστεύουν ότι το εύρημα του Mehta θα μπορούσε να αποτελεί στοιχείο για τον πιθανό δημιουργό του WannCry, ο οποίος δανείστηκε ένα κυβερνο-όπλο της NSA για να “μολύνει” έως και 200.000 συστήματα, προκαλώντας σοβαρές καθυστερήσεις και θέτοντας εκτός λειτουργίας τις ιστοσελίδες νοσοκομείων στη Βρετανία, με “θύματα” και τις αυτοκινητοβιομηχανίες Nissan και Renault, μεταξύ άλλων. Ωστόσο, όλοι επισημαίνουν επίσης και ότι θα μπορούσε να είναι ένα ψεύτικο σήμα που σκοπίμως συμπεριελήφθη στον κώδικα για να οδηγήσει τους πάντες σε λάθος μονοπάτι.
Τι σημαίνει ο κοινός κώδικας που χρησιμοποιήθηκε;
Ο Mehta και οι ερευνητές που καταπιάστηκαν με το εύρημά του, είπαν ότι ένα κομμάτι του κώδικα που κρύβεται πίσω από το WannaCry ήταν 100% ίδιο με ένα κομμάτι από τον κώδικα του Contopee, του κακόβουλου λογισμικού που χρησιμοποιήθηκε από τη Lasarus Group. Ο κώδικας του WannaCry ήταν από τον Φεβρουάριο του 2017 και του Contopee από τον Φεβρουάριο του 2015. Το κοινό κομμάτι του κώδικα χρησιμοποιήθηκε και στα δύο λογισμικά για την παραγωγή ενός τυχαίου κώδικα, δημιουργώντας έτσι έναν τυχαίο αριθμό μεταξύ του 0 και του 75. Ο εν λόγω αριθμός θα μπορούσε να χρησιμοποιηθεί για να κωδικοποιήσει μερικά από τα δεδομένα του ιού, καθιστώντας κατ’αυτόν τον τρόπο πιο δύσκολη την ανίχνευσή του από εργαλεία ασφαλείας.
Βασισμένη αποκλειστικά στο κοινό αυτό μέρος του κώδικα, η Kaspesky Lab σημείωσε ότι είναι “το πιο σημαντικό στοιχείο μέχρι στιγμής σχετικά με την προέλευση του WannaCry”. Ο διευθυντής της ομάδας παγκόσμιας έρευνας και ανάλυσης της Kaspersky Lab, Costin Raiu, δήλωσε στο Forbes ότι το κακόβουλο λογισμικό που μελετάει ο Mehta, φαίνεται να είναι το ίδιο με εκείνο που είχε βρει η BAE Systems και το οποίο συνέδεε την ομάδα που λήστεψε την τράπεζα του Μπαγκλαντές με τη Lazarus. “Ασφαλώς, απαιτείται περισσότερη έρευνα σε αυτό το στάδιο”, όπως είπε ο Raiu, συμπληρώνοντας εντούτοις ότι το εύρημα του Mehta θα μπορούσε να είναι καταλυτικό για τη συνέχεια της έρευνας.
Ο Suiche συμφώνησε: “Θα ταίριαζε και με τη λογική της Lazarus… Είναι γνωστό πως συνηθίζουν να στοχοποιούν χρηματοοικονομικά ιδρύματα, όπως τράπεζες. Το γεγονός ότι έφτιαξαν έναν ιό που ζητάει λύτρα για να κλέψουν χρήματα μέσω κρυπτονομίσματος παραπέμπει σε ανάλογο τρόπο δράσης (με εκείνον της Lazarus)”.
Αυτό που είναι ιδιαιτέρως ενδιαφέρον είναι ότι ο κώδικας ίσως είναι μοναδικός και συνδέεται μόνο με τη Lazarus και με κανέναν άλλον. Ένα άλλος ερευνητής που ζήτησε να διατηρήσει την ανωνυμία του, είπε ότι εντοπίζει πολύ λίγες ομοιότητες, όταν συγκρίνει τον κώδικα με διάφορα κακόβουλα λογισμικά, στα οποία έχει πρόσβαση. Είναι λες και οι χάκερς που βρίσκονται πίσω από το WannaCry, δανείστηκαν έναν εξαιρετικά περιορισμένο αριθμό εργαλείων που χρησιμοποιήθηκαν από τη Lazarus Group και κανέναν άλλο χάκερ, παρατήρησε, περιορίζοντας τις πιθανότητες οι δύο αυτές περιπτώσεις να έχουν σχέση μεταξύ τους.
Ο “γίγαντας” της ασφάλειας, η Symantec, που τα τελευταία χρόνια παρακολουθεί τη Lazarus Group, γνωστοποίησε ότι έχει βρει επίσης κάποιες ενδιαφέρουσες ομοιότητες. Οι ερευνητές της είχαν εντοπίσει προηγούμενες εκδόσεις του WannaCry, τον Απρίλιο και στις αρχές Μαΐου, που δεν ήταν ευρέως διαδεδομένες, αλλά ήταν εκτεθειμένες σε συστήματα, αμέσως μετά αφ’ότου αυτά δέχθηκαν επίθεση μέσω εργαλείων που χρησιμοποιεί η Lazarus. “Εντούτοις, δεν μπορούμε ακόμη να επιβεβαιώσουμε ότι τα όπλα της Lazarus είναι αυτά που διέδωσαν το WannaCry σε αυτά τα συστήματα”, ανέφερε η εταιρεία. Το WannaCry χρησιμοποίησε επίσης μορφές κρυπτογράφησης στο Διαδίκτυο “που κατά το παρελθόν ήταν αποκλειστικό χαρακτηριστικό των εργαλείων της Lazarus”.
Ο Vikram Thakur, τεχνικός διευθυντής στη Symantec, είπε ότι η ομάδα του, από την Παρασκευή, ερευνά πιθανές συνδέσεις με μεγάλες ομάδες χάκερς. Παρατήρησε, επίσης, μια ελαφρώς περίεργη συμπεριφορά σε αυτούς που κρύβονται πίσω από το WannaCry, ειδικότερα όσον αφορά στη χρήση των πορτοφολιών Bitcoin για την εξαργύρωση των χρημάτων. Συμπεριλαμβάνοντάς τα στον κώδικα του κακόβουλου λογισμικού, θα είναι εύκολο να ακολουθήσεις τα χρήματα, εάν αποφασίσουν να τα αντλήσουν. Είναι κάτι για το οποίο ο Thakur διερωτάται: Οι δράστες προσπαθούσαν απλώς να προκαλέσουν παγκόσμια ζημιά, παρά να βγάλουν χρήματα; Κρίνοντας από τις επιθέσεις στη Sony και τα καταστροφικά χακαρίσματα στη Βόρεια Κορέα που έχουν συνδεθεί με τη Lazarus, δεν θα ήταν περίεργο εάν οι συγκεκριμένοι χάκερς είναι αναμειγμένοι στην πρόσφατη μαζική κυβερνοεπίθεση που οδήγησε σε καταστάσεις που θα μπορούσαν ακόμη και να θέσουν σε κίνδυνο τη ζωή των ανθρώπων στα βρετανικά νοσοκομεία.
Υπάρχει δρόμος ακόμη μέχρι την οριστική απάντηση
Ωστόσο, όλα αυτά θα μπορούσαν να είναι υπερβολές – “σάλτσες”. Το στοιχείο δεν είναι ξεκάθαρο και η πληροφορία θα μπορούσε να έχει συμπεριληφθεί για να αποπροσανατολίσει του ερευνητές και τις διωκτικές Αρχές στην έρευνά τους, όπως επισημαίνουν οι ειδικοί ασφαλείας.
Ο ερευνητής που διατήρησε την ανωνυμία του είπε ότι κοιτούσε επί ώρες τον κώδικα και δεν μπορούσε να τον λύσει.
Οι ομοιότητες στον κώδικα δεν σημαίνουν ότι από πίσω τους κρύβεται ο ίδιος χάκερ. Όπως ανέφερε ο Huss, είναι γνωστό ότι η Lazarus Group συνηθίζει να δημιουργεί εργαλεία βασισμένα σε ανοιχτό κώδικα. “Πρέπει να είμαστε προσεχτικοί, καθώς υπάρχει η πιθανότητα να πρόκειται για μια απλή σύμπτωση κώδικα και να προέκυψε από αντιγραφή που έγινε από δύο διαφορετικές ομάδες”.
Πολύ συχνά οι χάκερς δανείζονται κώδικα. Πράγματι, θα μπορούσε κάποια άλλη ομάδα να εντόπισε το εργαλείο της Lazarus Group και να το ξαναχρησιμοποίησε. Ή, όπως είπε ο Thakur, θα μπορούσε να πρόκειται για 2.000 δείγματα κακόβουλου λογισμικού που έχουν μείνει μυστικά σε κάποιο σκοτεινό φόρουμ, όπου εγκληματίες μοιράζονται τέτοιου είδους εργαλεία.
Αλλά σε μια τέτοια υπόθεση με τόσες λίγες ενδείξεις, όπου τα 60.000 δολάρια σε Bitcoin που κλάπηκαν από τα “θύματα” του WannaCry δεν έχουν οδηγήσει στα ίχνη κάποιου ενόχου, έστω και αυτό το στοιχείο είναι κάτι.
