Предполагаемые создатели вируса WannaCry пытались выдать себя за российских хакеров
30 мая 2017 года
Члены северокорейской хакерской группировки Lazarus, которую подозревают в причастности к созданию вируса-шифровальщика WannaCry, пытались выдать себя за российских хакеров. Об этом говорится в исследовании компании Group-IB.
Как полагают исследователи, группировка Lazarus предприняла шаги для маскировки под русских хакеров еще в начале 2016 года. Например, в программный модуль Client_TrafficForwarder, отвечающий за пересылку сетевого трафика, были добавлены отладочные символы и строки с русскими словами, написанными на латинице, для описания команд, которые может получить вредоносная программа от сервера управления.
"Использованные слова являются нехарактерными для носителя русского языка, а в случае с командой "poluchit" значение слова противоречит самому действию", - говорится в отчете Group IB.
Кроме того, в компании обратили внимание на тот факт, что представители Lazarus использовали для защиты своих исполняемых файлов коммерческий протектор Enigma, разработанный русским автором, а эксплойты для Flash и Silverlight был позаимствован из наборов эксплойтов, созданных русскоговорящими хакерами.
Представители Group-IB также напомнили, что ранее расследовали деятельность Lazarus и пришли к выводу, что эта группировка базируется в Северной Корее, а стоять за ней может Bureau 121 - одно из подразделений Разведывательного Управления Генштаба Армии КНДР, отвечающего за проведение киберопераций.
По данным исследователей, хакеры "долгие годы шпионили за идеологическими врагами режима" - госучреждениями и корпорациями США и Южной Кореи. Затем Lazarus начала атаковать банки и финансовые учреждения по всему миру. Самой масштабной операцией Lazarus стала попытка украсть в феврале 2016 года почти 1 млрд долларов из центрального банка Бангладеш, однако из-за ошибки в платежном документе хакерам удалось похитить только 81 млн долларов.
Напомним, что масштабная атака WannaCry, затронувшая около 300 тыс. пользователей в 150 странах, произошла 12 мая. Вирус-шифровальщик массово выводил из строя компьютеры и требовал выкуп за дешифровку файлов пользователей.
Сообщалось, что Россия больше других стран пострадала от WannaCry. Кибератака, в частности, затронула компанию "МегаФон", МВД, "Сбербанк", Минздрав. О попытке заражения сообщали в РЖД и Центробанке, где подчеркнули, что атака была безуспешной.
Стоит отметить, что официальные представители КНДР опровергли причастность страны к созданию WannaCry, а эксперты американской компании Flashpoint пришли к выводу, что создателями вируса-вымогателя WannaСry могут быть выходцы из Южного Китая, Гонконга, Тайваня или Сингапура.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.