WannaCry的幕后攻击者是谁？新证据指向北朝鲜

上周五在全球肆虐的勒索蠕虫WannaCry，在短短的一个周末就造成全球150个国家、20万台电脑沦陷，然而到底是谁有本事发动这样大规模的网络攻击，让全球陷入大乱呢？资安专家最近从程式码的蛛丝马迹发现，WannaCry的攻击者与恶名昭彰的Lazarus骇客集团有很大的关联，而Lazarus亦与北朝鲜政府关系匪浅。

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution

— Neel Mehta (@neelmehta) May 15, 2017

新证据是由Google研究员Neel Mehta率先公布，他在个人Twitter账号公布了两段字串，但没做任何说明。随后卡巴斯基实验室研究总监Costin Raiu与Comae创办人Matt Suiche证实，这两段字串分别取自2017年2月份早期的WannaCry勒索蠕虫程式，以及2015年2月份的Contopee后门程式的片段，这两段程式码几乎相同，而经调查Contopee后门程式为Lazarus骇客集团所为。

Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5

— Matthieu Suiche (@msuiche) May 15, 2017

然而根据程式码类似就能判定WannaCry的幕后藏镜人是Lazarus吗？说不定是有心人士复制Contopee的程式码片段，以嫁祸给Lazarus。卡巴斯基实验室指出，确实有这种可能，然而比对目前流行的5月份的WannaCry程式码，却没发现这段从2月份版本发现的程式码，可合理推测攻击者在2月开始测试攻击程式时仍使用Contopee旧的程式码，而在5月真正发动攻击时才删掉与Contopee相关的程式码，由此行径可高度怀疑WannaCry与Lazarus有相当的关系，若非是Lazarus骇客集团发动攻击，就是有办法取得Lazarus程式码的组织。

Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR

— Costin Raiu (@craiu) May 15, 2017

Lazarus是近年来恶名昭彰的骇客集团。2014年的新力索尼影视被骇事件，以及日前沸沸扬扬的印度孟加拉银行被利用SWIFT转账机制盗领8千多万美元，经过许多资安研究员的调查，皆认为Lazarus是背后的攻击者。

卡巴斯基实验室表示，在调查孟加拉银行盗领案时，一开始也没有什么证据指向攻击者是Lazarus，然而随着许多资安研究员发掘出更多讯息，证据一步步指向Lazarus。目前虽然尚无法定论WannaCry的幕后攻击者就是Lazarus，但随着全球的资安研究员找出更多蛛丝马迹，应该能够找出全球都迫切想知道的答案。