Dabar populiaru

Naujausios

Publikuota: 2017 gegužės 17d. 10:21

Kas bendro tarp „WannaCry“ ir Šiaurės Korėjos?

„WannaCry“ virusas gali būti Šiaurės Korėjos programišių darbo vaisius
AFP/„Scanpix“ nuotr. / „WannaCry“ virusas gali būti Šiaurės Korėjos programišių darbo vaisius

Šį kartą ne vienas tyrėjas tvirtina, kad duomenis šifruojantį „WannaCry“ galėjo sukurti „Lazarus“ hakeriai. Manoma, kad šią grupę palaiko Šiaurės Korėjos valdžia. Jos sąskaitoje – atakos prieš „Sony Pictures Entertainment“, ginkluotąsias Pietų Korėjos pajėgas, SWIFT bankinę sistemą, Centrinį Bangladešo banką.

„WannaCry“ virusas pusėje pasaulio išplito per kelias valandas. Šifruojančios programos epidemija prasidėjo nuo Ispanijos ir Anglijos, dabar ji apima 150 šalių. Iš viso specialistai užfiksavo daugiau nei 200 tūkstančių užkrėtimo atvejų. Anglijoje ataka paveikė 16 ligoninių, Prancūzijoje sustojo „Renault“ gamyklos, Rusijoje penktadienį nuo viruso nukentėjo Vidaus reikalų ministerijos kompiuteriai, telekomunikacijų bendrovė „Megafon“, Rusijos geležinkeliai.

Securelist iliustr./Viruso „WannaCry“ aukų pasiskirstymas pagal valstybes
Securelist iliustr./Viruso „WannaCry“ aukų pasiskirstymas pagal valstybes

„WannaCry“ šifruoja kompiuterio duomenis ir reikalauja 300 JAV dolerių išpirkos – šią sumą reikia konvertuoti į bitkoinus ir pervesti hakeriams. Kibernetinių užpuolikų sąskaitas stebintys specialistai tvirtina, kad jose dabar apie 53 tūkstančiai dolerių. Tačiau gali būti, kad uždarbis nėra pagrindinis hakerių tikslas. Jei kibernetinių tyrėjų spėjimai dėl „WannaCry“ autorystės teisingi, tai šie hakeriai uždirba visai kitaip.

Vienodos eilutės

Pirmadienį vakare „Google“ tyrėjas, kibernetinio saugumo specialistas Neelas Mehta savo „Twitter“ paskyroje publikavo paslaptingą pranešimą – nesuprantamą raidžių ir skaičių kratinį, pažymėtą grotažyme #WannaCryptAttribution (viruso „WannaCrypt“ priskyrimas). Kaip savo ataskaitoje aiškina „Kaspersky Labs“ specialistai, taip Mehta nurodė vienodus „WannaCry“ viruso ir grupės „Lazarus“ naudotų programų kodo fragmentus. Vėliau apie galimą „WannaCry“ autorių ir „Lazarus“ ryšį pranešė antivirusinės kompanijos „Symantec“ ekspertai.

Kaip rašo „Kaspersky Labs“ specialistai, N.Mehta palygino vienos iš pirmųjų „WannaCry“ versijos, datuojamos 2017 metų vasario mėnesiu, ir „Lazarus“ 2015 metais naudoto programino kodo pavyzdžius. Ir juose aptiko bendrus fragmetnus. Žinoma, „Lazarus“ programų kodas galėjo būti tiesiog nukopijuotas į „WannaCry“. „Kaspersky Labs“ atstovai sako, kad tai įmanoma, tačiau menkai tikėtina. Jų nuomone, „WannaCry“ virusą dar reikia geriau ištirti, bet vieną dalyką galima pasakyti užtikrintai: Neelo Mehtos atradimas – kol kas pati svarbiausia informacija apie „WannaCry“ kilmę.

Esame tvirtai įsitikinę, kad vasario versiją ir 2017 metų kovo mėnesį išleistą šifruotojo „WannaCry“ versiją sukūrė tie patys žmonės, arba žmonės, galintys naudoti tą patį pradinį kodą

„WannaCry“ virusas pirmą kartą aptiktas 2017 metų vasario mėnesį. Jis išnaudoja jau žinomą „Windows OS“ pažeidžiamumą, kuriam pataisymas buvo išleistas kovą. Informacija apie šį pažeidžiamumą buvo JAV Nacionalinės saugumo agentūros archyve. Prieš keletą mėnesių hakerių grupė „Shadow Brokers“ paviešino dokumentus, kuriuose aprašomi įvairūs NSA ir susijusių struktūrų naudojami šnipinėjimo instrumentai. Tačiau tikrą košę užvirė ne vasarį aptikta, o antroji viruso versija – „WanaCrypt0r 2.0“. Hakeriai patobulino programą, pridėjo daugiau failų tipų, kuriuos virusas šifruoja, ir padidino kalbų, kuriomis aukai rodomas pranešimas, skaičių.

„Esame tvirtai įsitikinę, kad vasario versiją ir 2017 metų kovo mėnesį išleistą šifruotojo „WannaCry“ versiją sukūrė tie patys žmonės, arba žmonės, galintys naudoti tą patį pradinį kodą“, – sakoma ataskaitoje. Beje, antrojoje „WannaCry“ versijoje kodo fragmento, analogiško „Lazarus“ programoms, jau nebuvo.

Nuotr. iš  „Twitter“/Kibernetinė ataka
Nuotr. iš „Twitter“/Kibernetinė ataka

Kopijuotojai įkliuvo

Hakerių grupė „Lazarus“ keletą metų egzistavo praktiškai inkognito režimu. Tiksliau, tyrėjai nežinojo, kad visiškai skirtingų kibernetinių atakų vykdytojas yra tas pats. Tai paaiškėjo po didelio tyrimo, kurio rezultatai paskelbti 2016 metų vasarį. Tyrimą vykdė iš karto kelios kompanijos ir kibernetinio saugumo srities ekspertai. Įdomu, kad tada susieti skirtingas atakas specialistams irgi padėjo kodo analizė. Tyrimas pavadintas operacija „Blockbuster“. Tikėtina, tai susiję su tuo, kad ekspertų dėmesio centre buvo prieš „Sony Pictures Entertainment“ kompaniją nukreipta ataka.

2014 metų lapkritį prieš „Sony Pictures Entertainment“ kompanijos serverius buvo įvykdyta stambi ataka, per kurią hakeriai pagrobė apie 11 TB duomenų – asmeninius kompanijos darbuotojų ir jų šeimų duomenis, dar neišleistus filmus, finansinius dokumentus. Atsakomybę prisiėmė hakerių grupė „Guardians of Peace“, tačiau JAV specialiosios tarnybos buvo įsitikinusios, kad už atakos stovi Šiaurės Korėja. „Sony Pictures Entertainment“ kaip tik rengėsi išleisti komedinį kovinį filmą „Interviu“, kur aprašomas pasikėsinimas į Šiaurės Korėjos lyderį Kim Jong Uną. Iš pradžių kompanija filmo pasirodymą netgi atšaukė, tačiau paskui persigalvojo.

Operacijos „Blockbuster“ metu tyrėjai išsiaiškino, kad programos, panaudotos „Sony Pictures Entertainment“ atakai, kodas panašus į kodą virusų, naudotų daugelyje kitų atakų. Pavyzdžiui, kampanijoje „DarkSeoul“, nukreiptoje prieš Seulo bankus, radiją ir televiziją, ir operacijoje „Operation Troy“, nukreiptoje prieš Pietų Korėjos ginkluotąsias pajėgas. „Lazarus“ naudoja vieną ir tą patį kenksmingą kodą kelis kartus, jau panaudotus fragmentus įtraukdami į naujus kūrinius“, – tvirtino tyrėjai. Pats anksčiausias pavyzdys – dar 2009 metų, o 2010-aisiais pavyzdžių ėmė sparčiai daugėti. Buvo dar keli momentai, padėję skirtingas atakas priskirti vienai grupei. Tarkime, hakeriai failų archyvavimui naudojo vienus ir tuos pačius slaptažodžius. Vienodi buvo ir užkrėstose kompiuterių sistemose likusių pėdsakų trynimo metodai.

Išanalizavę daugumos virusų sukūrimo laiką, tyrėjai išsiaiškino ir tai, kad grupė „Lazarus“ dirba GMT+8 ir GMT+9 laiko juostose. „Užpuolikai turi reikiamus įgūdžius ir pasirengę panaudoti kibernetinio šnipinėjimo operacijas ne tik pinigų grobimui, bet ir fizinės žalos sukėlimui. Pasitelkdami ir aukos dezinformavimo taktiką, per pastaruosius metus jie sugebėjo sėkmingai įvykdyti kelias tokias operacijas“, – sakė Jamie Blasco, „AlienVault“ vyr. tyrėjas.

Turtingi hakeriai skurdžioje šalyje

Jei valstybė apiplėšinėja bankus, tai labai rimta

Norint sukurti tokioms atakoms naudojamus virusus, reikia aukšto lygio hakerių, o taip pat nemenkų finansinių išteklių. Iš kur pinigai hakerių išlaikymui vienoje iš skurdžiausių pasaulio šalių? Gali būti, lėšų trūkumas paaiškina aplinkybę, kodėl „Lazarus“ aukomis dažnai tampa įvairių šalių finansinės organizacijos. Pavyzdžiui, 2016 metų pradžioje ši grupė atakavo Bangladešo Centrinį banką. Tada hakeriai per tarptautinių tarpbankinių pavedimų sistemą SWIFT bandė pervesti 951 mln. JAV dolerių. Tačiau dėl klaidos mokėjimo dokumente jiems pavyko pavogti tik 81 mln. dolerių. „Jei valstybė apiplėšinėja bankus, tai labai rimta“, – tada pareiškė NSA direktoriaus pavaduotojas Richardas Ledgettas.

2016 metų gegužę paaiškėjo, kad piktavaliai dar 2015 metų sausį iš Ekvadoro banko „Banco del Austro“ pavogė 9 mln. dolerių. Tada ekspertai šią ataką priskyrė grupuotei „Lazarus“. Maždaug tuo pat metu buvo bandoma pagrobti pinigus iš bankų Filipinuose ir Vietname. 2017 metų vasarį buvo atakuota Lenkijos finansų sistema. Antivirusinės kompanijos „Symantec“ atstovai tada tvirtino, kad tai irgi „Lazarus“ rankų darbas, nors Šiaurės Korėjos hakeriai bandė suklaidinti tyrimą – į kodą jie pradėjo dėti rusiškas frazes. Tačiau, kaip tvirtino ekspertai, žodžiai, tikėtina, buvo išversti internetiniu vertėju – daugelis buvo parašyti neteisingai.

Praėjusios savaitės gale prasidėjusi pasaulinė ataka tebesitęsia. „Kaspersky Labs“ duomenimis, pirmadienį viruso šantažuotojo „WannaCry“ aktyvumas sumažėjo šešis kartus, tačiau aktyviai randasi jo klonai, tad vis dar gali prasidėti nauja atakų banga.

Hakerių grupės dažniausiai turi siaurą specializaciją – pavyzdžiui, atakuoja bankus. Tokių operacijų parengimui reikia pinigų ir daug darbo. Kuo daugiau ataka turi krypčių, tuo daugiau reikia išteklių. Tačiau „Lazarus“ grupės hakeriai atrodo universalūs. „Manome, kad „Lazarus“ – ne tiesiog „dar viena hakerių grupė“. „Lazarus“ operacijų mastas šokiruoja“, – rašo „Kaspersky Labs“ specialistai.

Technologijos.lt
Pažymėkite klaidą tekste pele, prispaudę kairijį pelės klavišą
Pranešti klaidą

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Aktualu

„Amnesty International“ kaltinimai: Nigerijos kariai prievartavo iš teroristų gniaužtų išvaduotas moteris

Aktualu

URM: Lietuva pasitiki atliktu tyrimu dėl Malaizijos avialinijų lėktuvo katastrofos

Aktualu

Ar atšauktas D.Trumpo ir Kim Jong Uno susitikimas reikš naują tarptautinę krizę?

Sportas

Čempionų lygos finalo išvakarėse – J.Kloppo pokštai ir Z.Zidane'o atsakas kritikams

Vardai

Kastytis Kerbedis triukšmingai atšventė 55-ąjį gimtadienį: draugams ir gerbėjams dovanojo koncertą

Pasaulis kišenėje

Kitokia Kuba. Havanos gatvių poetai

24sek

Po pergalės Šarūnas Jasikevičius kritikavo jaunimą ir pokštavo

Šią pilį Prancūzijoje galima laimėti loterijoje už 11 eurų

Interviu Aktualu

Garis Kasparovas: „Išpuolis prieš Sergejų Skripalį buvo didelė Kremliaus klaida“

Vardai

Keksiukų fėja Liucina Rimgailė – apie aistrą motociklams: „Jie padeda pabėgti nuo kasdienybės“

Naujasis atrakcionas leis pajusti „Formulė 1“ lenktynių greitį

Aktualu

Aiškinasi, ar į Lietuvą nepateko puviniu užkrėstų bulvių

24sek

R.Kurtinaitis atsakė į sirgalių kritiką dėl „Žalgirio“ ir išteisino šventusį jaunimą

Kultūra

J.R.R.Tolkieno populiarumo paslaptis

Vardai

Kensingtono rūmai pristatė naują Sasekso hercogienės Meghan herbą

Mokslas.IT

Lūžio taškas: ar greitai vestuves ir žurnalų viršelius fotografuosime telefonu?

Aktualu

Italų pora, pavadinusi sūnų Benito Mussolini, sulaukė šaukimo į teismą

Verslas

Futuristiniai sprendimai miestuose: kalbančios perėjos ir išmanus apšvietimas

Sportas

Lietuvos irkluotojus piktina treneris italas – blogesnės situacijos neatsimena

Deuce

Sugebėjo – teniso legenda I.Nastase suimtas dukart per 6 valandas

Naujienos

Aktualu

„Amnesty International“ kaltinimai: Nigerijos kariai prievartavo iš teroristų gniaužtų išvaduotas moteris

Aktualu

URM: Lietuva pasitiki atliktu tyrimu dėl Malaizijos avialinijų lėktuvo katastrofos

Aktualu

Ar atšauktas D.Trumpo ir Kim Jong Uno susitikimas reikš naują tarptautinę krizę?

Sportas

Čempionų lygos finalo išvakarėse – J.Kloppo pokštai ir Z.Zidane'o atsakas kritikams

Vardai

Kastytis Kerbedis triukšmingai atšventė 55-ąjį gimtadienį: draugams ir gerbėjams dovanojo koncertą

Pasaulis kišenėje

Kitokia Kuba. Havanos gatvių poetai

24sek

Po pergalės Šarūnas Jasikevičius kritikavo jaunimą ir pokštavo

Šią pilį Prancūzijoje galima laimėti loterijoje už 11 eurų

Interviu Aktualu

Garis Kasparovas: „Išpuolis prieš Sergejų Skripalį buvo didelė Kremliaus klaida“

Vardai

Keksiukų fėja Liucina Rimgailė – apie aistrą motociklams: „Jie padeda pabėgti nuo kasdienybės“

Naujasis atrakcionas leis pajusti „Formulė 1“ lenktynių greitį

Aktualu

Aiškinasi, ar į Lietuvą nepateko puviniu užkrėstų bulvių

24sek

R.Kurtinaitis atsakė į sirgalių kritiką dėl „Žalgirio“ ir išteisino šventusį jaunimą

Kultūra

J.R.R.Tolkieno populiarumo paslaptis

Vardai

Kensingtono rūmai pristatė naują Sasekso hercogienės Meghan herbą

Mokslas.IT

Lūžio taškas: ar greitai vestuves ir žurnalų viršelius fotografuosime telefonu?

Aktualu

Italų pora, pavadinusi sūnų Benito Mussolini, sulaukė šaukimo į teismą

Verslas

Futuristiniai sprendimai miestuose: kalbančios perėjos ir išmanus apšvietimas

Sportas

Lietuvos irkluotojus piktina treneris italas – blogesnės situacijos neatsimena

Deuce

Sugebėjo – teniso legenda I.Nastase suimtas dukart per 6 valandas

Vardai

Žinau, ką renkuosi

Atnaujinkime namus

Video

Metas rinktis

Maistas

Laikas griliui

Išlaikyk atostogų ritmą

Remontas be nervų

Sveikata

Automobilių švaros centras AINAVA

Ryškiems įvarčiams

Pasaulis kišenėje

Sulčių nauda

Naujas regėjimas

Unicef vaikų bėgimas „Už kiekvieną vaiką“

Renginių gidas

Parašykite atsiliepimą apie Mokslas.IT