硅谷Live / 实地探访 / 热点探秘 / 深度探讨
当时勒索软件爆发时比特币差不多1500美元,再看看今天比特币的币价,这群黑客可是赚了不少啊……
大家还记得今年5月份发生的大规模“WannaCry”(想哭)勒索病毒事件吗?国内应该有不少童鞋亲身体验了一把被勒索的感觉~
(图片来自网络)
不过也就是这次爆发,让比特币重新回到了大众的视野之内。至于后面比特币暴涨跟他们有没有关系,小探我反正是不知道了...
也就在网上各种讨论这次勒索软件的巨大影响的同时,有一些报道指出这次攻击可能来自亚洲的一个“神秘国家”。
可是当时没有足够的证据证明这次勒索病毒与其有关,这事到后面也就不了了之了。
当然,这事情慢慢也就被大家淡忘,不过这比特币嘛~,我看是永远留在了人们的心里....
这事过去也有大半年了,按理来说也差不多该消停了。但是就在这周一,美国官方却站了出来,宣布这起袭击了全球三十多万台计算机,造成英国卫生系统瘫痪、美国、俄罗斯、澳洲等多个国家大规模网络瘫痪的攻击事件,幕后黑手是朝鲜...
当然,人家这也不是瞎出来指认的,没有证据怎么敢明目张胆的乱说呢~
这次跳出来实名指认朝鲜的,是川普总统的国土安全和反恐怖主义顾问汤姆·博斯特(Tom Bossert)。
他在《华尔街日报》网络版发表文章《North Korea Is Behind WannaCry》,这可以算是官方正式表态了(当然,这也不是美国第一次认为北韩是“网络攻击的幕后黑手”了。。。)
(图片截自华尔街日报)
不过到底他们有何证据说是朝鲜干的?难道是因为前两天韩国交易怀疑被朝鲜黑客所被盗?还是因为朝鲜出现的大规模挖矿行为?
“这次袭击事件耗资数十亿美元,北韩应直接负责。”汤姆·博斯特在文章中说。
在进入今天故事之前,我们不妨简单回顾一下WannaCry事件。
回顾:攻击150国 每台机器勒索300刀
WannaCry 是一种勒索软件(Ransomware),这也是一种新型态的电脑病毒。
在国内,大家印象最深的勒索软件应该就是“熊猫烧香”了。
(图片来自网络)
Ransomware 是个很特别的攻击手段,因为黑客并不在乎你电脑里有什么,他们只需要用一个“万能锁”(Ransomware),把你的电脑锁住就行了。也就是说如果得到了这个勒索软件,一个小学生都能去勒索别人。
而唯一解决的办法就是乖乖的买300美金的比特币,然后打到黑客所提供的转账地址上,他们才会给你解锁。
微软公司曾披露数据,这次网络攻击,涵盖150个国家,牵涉范围可以说是很广很广了。而当时最严重的受害者非英国莫属了。当时,英国多家医院发现内网被攻陷,电脑被锁定,电话也不通,只好用纸笔来交流……
这件事情一出,立马受到世界各国的关注。到后来,除了像微软、赛门铁克、卡巴斯基还有国内各大杀毒软件公司发布补丁来防止病毒进一步扩散外,还有一个奇葩的故事。
有一个22岁的英国小哥,顺手注册了一个网址,成功阻止了这款勒索软件在全球的进一步蔓延。这个小哥还因此成为了“国民英雄”,英国的某个知名披萨品牌店,知道小哥爱吃披萨后,就送了他免费吃一年的披萨福利!
证据:朝鲜黑客组织“拉撒路集团”实施
“我们不会轻易提出这个指控,我们是有证据证明的”。汤姆在文章中说。
既然强调朝鲜是幕后黑手,证据到底在哪里呢?
在《华尔街日报》文章中,汤姆·博斯特并没有透露具体的调查细节和证据,但是他指出:朝鲜是幕后黑手的研究结果并不是唯一的。比如英国已经指出此次网络袭击事件是北韩行为,而微软等公司也在追查朝鲜政府的网络分支机构。
路透社报道说,美国政府有“非常大的信心”认为,是一个为朝鲜政府工作的、被称为拉撒路集团(Lazarus Group)的黑客实施了WannaCry攻击,但并没有讨论政府调查的细节。因为担心透露太多细节会导致对手的“反侦查”。
确实如汤姆·博斯特所说,在这次网络攻击事件后,不少科技公司和安全软件公司针对WannaCry病毒的攻击行为进行了研究,陆续公布研究结果的就有像谷歌、卡巴斯基、Symantec等公司。
比如Google的安全研究人员发现,WannaCry勒索软件的早期版本中所使用的代码,与被称为“Lazarus Group”的黑客使用的代码的相似之处:2015年2月Lazarus 的高级持续威胁组样本与2017年2月 Wannacry 的密码样本相似。
(图片来自卡巴斯基实验室网站)
那么这个“拉撒路集团”到底是什么组织?为什么感觉这么厉害,应该干过不少大案子吧!
的确,随便举几个例子,大家就能感受到这个组织的强大了~
还记得2014年索尼影业希望上映的一部喜剧“杀死金正恩”(The Interview)吗?
在这期间,索尼影业内网遭到了木马攻击,不仅泄露了大量员工的个人信息,连未上映的影片资源也纷纷流出。
我想大家也知道是谁干的了吧~
(图片来自网络)
2016年2月,一个黑客组织试图从孟加拉国中央银行窃取8.51亿美元,并成功转移了8100万美元。这被认为是有史以来规模最大,最成功的网络劫持案件之一。
在当时,尚不知是哪个组织所为,但经过一年多的追踪调查,卡巴斯基实验室今年4月发布调研报告,认为这起劫持案跟拉撒路集团旗下一个专从事金融攻击的小组 Bluenoroff 有很大的关系。
如何证明拉撒路集团跟朝鲜有关?卡巴斯基的研究员发现,这起劫持案背后,多个IP地址来自朝鲜。而且,有人在朝鲜“意外地”访问了命令和控制的URL。
卡巴斯基还认为,这个组织的活动从2009年开始,一直持续至今。这个金融小组至今已经攻击过的国家包括墨西哥、澳大利亚、乌拉圭、挪威、印度、秘鲁、波兰等18个国家。
(图片来自卡巴斯基实验室)
今年2月,波兰媒体报道,波兰金融行业再次遭到不明身份的黑客攻击,另一家重要的网络安全公司Symantec 的分析表明,这同样跟拉撒路集团有关。
不过,这次在《华尔街日报》的公开谴责并没有特定的个人或组织。但汤姆在文章中表示,“无论他们是单独行事,还是代表犯罪组织,或者是敌对国家行事。恶意的黑客属于监狱,极权政府应该为自己的行为付出代价。”
朝鲜反应:早有否认
那朝鲜方面的反应如何呢?当然,目前并没有任何官方机构跳出来指责或者回应这个“指控”。
其实,在Wannacry爆发后,朝鲜官方部门的回应已经出现过一次,并不止一次否认指控。
今年5月19日,朝鲜驻联合国的副使金仁龙(Kim In Ryong)在新闻发布会上被问到,平壤是否参与了全球WannaCry攻击或者是对联合国的黑客攻击,金仁龙表示“任何关于网络攻击与朝鲜的联系都是荒谬的”。
当然,不管朝鲜如何回应,英国,澳大利亚,加拿大,新西兰和日本等国政府也陆续宣布,相信朝鲜是这次袭击的“幕后黑手”了。
汤姆还在文章中说,政府和企业应该合作减少网络风险,增加黑客的成本,美国也必须凝聚盟友和负责任的高科技公司,以提高互联网的安全性和弹性。
除了盟友表态之外,像Facebook 和微软也已经以行动支持这个结论了。
Facebook 本周二宣布,删除拉撒路这个组织运营的个人资料和账户,使他们难以以“个人身份”开展活动。而且,还通知了那些可能与这些账户有联系的人,提出了提高账户安全性的建议。
微软方面,公司的首席法务官Brad Smith 表示,微软已经清理了客户受感染的电脑,并拿走了拉撒路集团用来“追查网络攻击”的账号。还加强了Windows的安全性,防止恶意软件再次感染计算机。
说到这,密探其实追踪报道过,微软的这位首席法务官Brad Smith 曾怒怼美国国家安全局(NSA),因为国家安全局竟然能让窃贼把这款勒索软件从国安局里偷出来!
简单说就是,美国国家安全局曾针对微软漏洞MS17-010 开发了一款网络武器“永恒之蓝”,可以利用这些网络漏洞对其他国家发起攻击。“Wannacry”勒索软件就被认为是利用了“永恒之蓝”来攻击其他计算机的。因为针对于操作系统的漏洞只有国家安全局知情,所以说,如果这个漏洞不是被偷出来,连微软都不知道漏洞的存在。。。
嗯,真是神奇了,如果真如川普的国土反恐顾问汤姆所说,是朝鲜的“窃贼”从美国国家安全局偷出来的网络武器,你说川普总统是该哭还是笑呢……
不过话说回来你们觉得,三胖手下真的这么能干吗?
更多相关文章,可以看密探此前报道:
神秘的海莲花,国家和国家之间的黑客对决
想和探长聊一聊?来加探长个人微信号 svinsight
推荐阅读