شرکت سیمنتک از ارتباط بین باج افزار «واناکرای» و هکرهای کره شمالی خبر می دهد

محققین شرکت «سیمنتک» (Symantec) تقریباً مطمئن هستند که حمله گسترده و بی سابقه باج افزار «واناکرای» (WannaCry) توسط یکی از گروه های هکر شناخته شده وابسته به دولت کره شمالی صورت گرفته است. این کمپانی امنیتی در وبلاگ خود نوشته:

تجزیه و تحلیل حملات واناکرای توسط تیم «پاسخ امنیتی سیمنتک» شباهت های زیادی را بین ابزارها، تکنیک ها و زیرساخت مورد استفاده در این حمله و دیگر فعالیت های خرابکارانه تیم لازاروس (Lazarus) نشان می دهد، بنابراین تقریباً مطمئن هستیم آنها منبع اصلی انتشار واناکرای بوده اند.

واناکرای که به به نام های دیگری از جمله Wcry، واناکریپتور، واناکریپت نیز معروف است، از آغاز هفته گذشته صدها هزار کامپیوتر را در سرتاسر جهان آلوده ساخت. به نظر می رسد تیم لازاروس از ابزارهای جاسوسی به سرقت رفته متعلق به آژانس امنیت ملی آمریکا (NSA) برای انتشار این بدافزار استفاده کرده است.

گروه لازاروس از نسخه اولیه واناکرای برای حمله به سونی استفاده کرده است

با این حال ردپای نسخه های قبلی این باج افزار پیش از انتشار ابزارهای جاسوسی NSA نیز مشاهده شده که به صورت دستی وارد شبکه ها می شدند. سیمنتک می گوید گروه لازاروس از نسخه اولیه واناکرای برای هک «سونی پیکچرز» استفاده کرده. در ماه فوریه سال جاری، دو نسخه ابتدایی از بدافزار واناکرای به نام های Destover و Volgmer توسط سیمنتک کشف شدند که به ترتیب برای حمله به سونی و کره جنوبی به کار گرفته شده بودند.

در ماه های مارس و آوریل، نسخه دوم این باج افزار با ترکیب دو بدافزار دیگر لازاروس یعنی Alphanc و Bravonc کشف شدند. سیمنتک این ابزارهای نفوذ را در پنج حمله مجزای واناکرای شناسایی کرد و گفت پس از آغاز به کار Alphanc، واناکرای هم در کمتر از چند دقیقه فعال می شود. در هر دو مورد فوق، بدافزار از زیرساخت های کنترلی و فرمان پذیری مشترکی با دیگر حملات مخرب دولت کره شمالی استفاده می کرد.

گفتنیست هفته گذشته هم محققین گوگل و کارشناسان کسپرسکی کدهای مشابهی را بین ابزارهای نفوذ لازاروس و باج افزار واناکرای کشف کرده و گزارش نمودند.