НовостиОбзорыИтоги года 2024Все о нейросетяхГаджет года 2024ГаджетыТехнологииНаукаСоцсетиЛайфхакиFunПромокодыЭксперты

Эксперты связали WannaCry с правительством Северной Кореи

16 мая 2017
Вирусная атака WannaCry постепенно сходит на нет, и у антивирусных компаний, а также специалистов различных заинтересованных служб появилась возможность изучить червя и сделать предварительные выводы о его происхождении.

Эксперты полагают, что следы самой крупной вирусной атаки за всю историю Интернета тянутся в Северную Корею, а точнее — к уже известной группе хакеров под названием Lazarus, работающей на правительство этой страны. Один и тот же код обнаружен в WannaCry и троянцах от Lazarus.

Что такое группа Lazarus и чем она известна?

Северокорейская группа хакеров совершила несколько цифровых диверсий в отношении правительства Южной Кореи в 2000-е годы — это была своего рода проба пера. Затем хакерам удалось вывести через SWIFT 81 млн долл. (а хотели вывести почти полмиллиарда) из банка Бангладеш. А самый известный инцидент — взлом Sony Pictures: хакеры похитили личные данные сотрудников компании и членов их семей, содержимое внутренней электронной почты, информацию о заработной плате, копии неизданных фильмов Sony и многое другое. Также хакеры пригрозили терактами на премьере фильма «Интервью», в котором пародируется северокорейский лидер Ким Чен Ын. Показы фильма были отменены. В результате расследования выяснилось, что во всех случаях следы ведут в Северную Корею и что почерк злоумышленников схож. Следствие пришло к выводу, что хакеры группы Lazarus работают на правительство этой страны.

Найден ряд доказательств связи WannaCry и группы Lazarus

Специалисты Symantec выявили наличие схожих инструментов, которые использовались исключительно Lazarus на компьютерах, зараженных предыдущими версиями WannaСry. Эти версии WannaСry не имели механизмов для распространения через SMB.

Кроме того, в инструментах группы Lazarus и в черве WannaСry специалист Google Нил Мехта обнаружил общий код. Symantec установила, что этот код — форма SSL. Он используется для выполнения конкретной последовательности, состоящей из 75 шифров, которые до сих пор проявлялись только в инструментах Lazarus (в том числе contopee и brambul) и различных версиях WannaСry.

Хотя эти выводы не доказывают связь между Lazarus и WannaСry, специалисты Symantec считают, что имеются достаточные основания для начала официального расследования, — пишет EuroNews.

Напомним, что угроза вируса еще не полностью миновала, поэтому специалисты «Лаборатории Касперского» и Hi-Tech Mail.ru рекомендуют следующее.

«В борьбе с программами-шифровальщиками очень важны превентивные меры. Так, важно регулярно устанавливать обновления для ОС и программ на компьютере. Стоит использовать комплексное защитное средство уровня Internet Security и выше. Хорошей мерой предосторожности является и систематическое резервное копирование всех данных, хранящихся на устройстве, на другой носитель. В случае заражения платить злоумышленникам не стоит. Никаких гарантий возврата данных в этом случае нет».
Антон Ивановантивирусный эксперт «Лаборатории Касперского»:

Все, что на данный момент известно о вирусе WannaCry, вы можете узнать, перейдя по этой ссылке.

Григорий Матюхин