Hakerska ransomware kampanja koja je u nekoliko dana zarazila i blokirala više od 200 tisuća računala polako jenjava, a na scenu stupaju stručnjaci za računalnu sigurnost koji istražuju tko je odgovoran za milijunsku štetu koja je nastala diljem svijeta.

Dvije najpoznatije kompanije za računalnu sigurnost, Symantec i Kaspersky sumnjaju kako iza cijele kampanje stoje hakeri iz Sjeverne Koreje.

Naime, Googleov istraživač Neel Mehta na svom je Twitter profilu objavio dio koda WannaCry ransomwarea koji je identičan program Contopee. Stručnjaci za sigurnost Contopee su još u veljači uspjeli povezati sa sjevernokorejskom hakerskom grupom Lazarus.

 

 

Lazarus Grupa navodno je 2014. hakirala Sony Pictuers, a sumnja se i da su svoje prste imali u nekoliko napada na globalni financijski sustav. Sumnja se da iza Lazarusa stoji sjevernokorejska vlada, a dovodi ih se i u vezu s kompromitirani SWIFT bankarskim sustavom koji je rezultirao gubitkom nekoliko desetaka milijuna dolara iz bangladeških i vijetnamskih banaka.

U Kasperskyu su odmah nakon što je Mehta objavio dio koda počeli s analizom sličnosti, no nisu željeli potvrditi da postoji veza.

“Za sad je potrebna dodatna istraga, ali vjerujemo da ovo može sadržavati ključ za rješavanje misterija oko napada”, napisali su iz Kasperskyja.

Upozorili su kako postoji mogućnost da je dio koda ubačen kako bi se zameo trag pravih hakera. No, dodali su kako je to manje vjerojatno jer se radi o jedinstvenom kodu koji koristi samo jedna hakerska grupa.

Ako se zaista radi o nekoj drugoj hakerskoj grupi, stručnjaci za sigurnost upozoravaju kako je pokazala zadivljujući stupanj obmane, ali i nesposobnosti da zaradi novac.

Stručnjaci za sigurnosti i institucije koje istražuju napad morati će se dobro pomučiti da otkriju tko stoji iza napada. Ako je zaista riječ o vladi Sjeverne Koreje, upitno je što im je bio motiv za blokadu toliko organizacija i institucija diljem svijeta.

Upozoravaju kako su se već pojavile nove inačice ransomwarea, koje imaju drugačiji način deaktivacije (tzv. kill switch), a koji sugerira da se radi o hakerima iz Sjeverne Koreje koji se sad poigravaju sa svijetom. Naime, početak nove domene za deaktivaciju su slova “LMAO” (engleska kratica za “laughing my ass off”) koji se koriste za ismijavanje nekoga na internetu.