Предполагаемые создатели вируса WannaCry пытались выдать себя за русских хакеров
Хакеры из группировки Lazarus, связанные с Северной Кореей, пытались выдать себя за русских. Об этом говорится в исследовании компании по предотвращению и расследованию киберпреступлений Group-IB. Документ оказался в распоряжении Дождя.
Group-IB выяснила, что с начала 2016 года Lazarus предпринимала несколько шагов для того, чтобы выдать себя за русских хакеров. Во-первых, в модуль программы Client_TrafficForwarder, которая использовалась для получения доступа к локальным сетям извне, добавили несколько строчек с русскими словами, которые были написаны на латинице. Они использовались для описания команд, которые вредоносная программа может получить от сервера.
«Стоит отметить, что использованные слова являются нехарактерными для носителя русского языка, а в случае с командой „poluchit“ значение слова противоречит осуществляемому действию», — указали в Group-IB.
Помимо этого, там отметили, что Lazarus использовали программу Enigma, разработанную русским автором, и позаимствовали у русскоговорящих хакеров набор программ, использующих уязвимости в программном обеспечении.
Эксперты уверены, что группировка Lazarus состоит из граждан КНДР. В качестве доказательства в исследовании приводится два IP-адреса, с которых управлялась атака на две южнокорейские корпорации в феврале 2016 года и на Центральный банк Бангладеш в апреле 2016 года.
Один из этих IP-адресов (175.45.178.222) относится к северокорейскому сегменту интернета и выделен для одного из районов Пхеньяна. В этом же районе расположена Национальная комиссия КНДР по обороне. Второй IP-адрес (210.52.109.22) принадлежит автономной системе China Netcom. В некоторых источниках, отмечается в исследовании Group-IB, указано, что блок IP-адресов, в который входит и указанный адрес, относится к Северной Корее.
Помимо этого, там отметили, что Lazarus использовали программу Enigma, разработанную русским автором, и позаимствовали у русскоговорящих хакеров набор программ, использующих уязвимости в программном обеспечении.
В середине мая «Лаборатория Касперского» сообщила о том, что к атаке с использованием вируса WannaCry были причастные хакеры из группировки Lazarus. Масштабной атаке вируса-вымогателя в середине мая подверглись около 300 тысяч компьютеров в 170 странах мира. Однако эксперты работающей в сфере кибербезопасности компании Flashpoint пришли к выводу, что за созданием вируса WannaCry стоят жители юга Китая, Гонконга, Тайваня или Сингапура.