Предполагаемые создатели вируса WannaCry пытались выдать себя за русских хакеров

30 мая, 11:18
983 0

Хакеры из группировки Lazarus, связанные с Северной Кореей, пытались выдать себя за русских. Об этом говорится в исследовании компании по предотвращению и расследованию киберпреступлений Group-IB. Документ оказался в распоряжении Дождя.

Group-IB выяснила, что с начала 2016 года Lazarus предпринимала несколько шагов для того, чтобы выдать себя за русских хакеров. Во-первых, в модуль программы Client_TrafficForwarder, которая использовалась для получения доступа к локальным сетям извне, добавили несколько строчек с русскими словами, которые были написаны на латинице. Они использовались для описания команд, которые вредоносная программа может получить от сервера.

«Стоит отметить, что использованные слова являются нехарактерными для носителя русского языка, а в случае с командой „poluchit“ значение слова противоречит осуществляемому действию», — указали в Group-IB.

Изображение: Group-IB

Помимо этого, там отметили, что Lazarus использовали программу Enigma, разработанную русским автором, и позаимствовали у русскоговорящих хакеров набор программ, использующих уязвимости в программном обеспечении.

Эксперты уверены, что группировка Lazarus состоит из граждан КНДР. В качестве доказательства в исследовании приводится два IP-адреса, с которых управлялась атака на две южнокорейские корпорации в феврале 2016 года и на Центральный банк Бангладеш в апреле 2016 года.

Один из этих IP-адресов (175.45.178.222) относится к северокорейскому сегменту интернета и выделен для одного из районов Пхеньяна. В этом же районе расположена Национальная комиссия КНДР по обороне. Второй IP-адрес (210.52.109.22) принадлежит автономной системе China Netcom. В некоторых источниках, отмечается в исследовании Group-IB, указано, что блок IP-адресов, в который входит и указанный адрес, относится к Северной Корее.

Помимо этого, там отметили, что Lazarus использовали программу Enigma, разработанную русским автором, и позаимствовали у русскоговорящих хакеров набор программ, использующих уязвимости в программном обеспечении.

В середине мая «Лаборатория Касперского» сообщила о том, что к атаке с использованием вируса WannaCry были причастные хакеры из группировки Lazarus. Масштабной атаке вируса-вымогателя в середине мая подверглись около 300 тысяч компьютеров в 170 странах мира. Однако эксперты работающей в сфере кибербезопасности компании Flashpoint пришли к выводу, что за созданием вируса WannaCry стоят жители юга Китая, Гонконга, Тайваня или Сингапура.

Купите подписку
Вы уже подписчик? Войдите

Купить за 1 ₽

подписка на 10 дней
Варианты подписки
Что дает подписка на Дождь?
Комментарии (0)

Комментирование доступно только подписчикам.
Оформить подписку
Другие новости

Читайте и смотрите новости Дождя там, где вам удобно
Нажав кнопку «Получать рассылку», я соглашаюсь получать электронные письма от телеканала Дождь и соглашаюсь с тем, что письма могут содержать информацию рекламного характера