誰是這次全球網路攻擊的幕後駭手呢?目前有種看法指向了北韓,但就目前所知來看,這遠非結論。
人們也許沒有聽說過「拉撒路組」(Lazarus Group),但可能見識過這些人的手筆。2014年索尼電影娛樂公司遭駭客攻擊案,以及2016年孟加拉央行在美國紐約聯邦儲備銀行的帳戶被盜竊案,都與這個相當複雜的駭客組織有關。
普遍認為,「拉撒路組」駭客身在中國,但為北韓人辦事。
谷歌(Google)安全研究員梅塔(Neel Mehta)公布新發現後,網路安全專家現在謹慎地將「拉撒路組」與肆虐全球的勒索網路攻擊聯繫起來。梅塔將駭客使用的兩個惡意軟體樣本比對後發現了相似之處,其中一個樣本出自神秘駭客組織「拉撒路組」。
這僅僅是一大堆證據,也有其他線索需要考慮。
安全專家伍德沃德(Alan Woodward)教授通過電子郵件指出,原來的WannaCry代碼中的時間戳設置為「UTC + 9」,也就是比協調時間快9個小時的時區, 而要求贖金的文本使用了機器翻譯的英文,但中文部分顯然是由母語人士撰寫。
伍德沃德教授表示, 這些證據很弱,而且都是間接的,「但是值得進一步調查」。
確定攻擊來源並非易事
有關調查已經開始。俄羅斯安全公司卡巴斯基(Kaspersky)表示:「梅塔的發現是迄今為止針對WannaCry起源最為重要的線索」。但是,在得出任何確定的結論之前,還需要更多關於WannaCry早期版本的信息。
卡巴斯基表示「我們認為,世界各國的研究人員應對這些相似之處展開調查,並嘗試發現有關WannaCry起源的更多事實」。
該公司聲明說,「回顧孟加拉央行駭客襲擊事件,在調查初期,將事件與拉撒勒組駭客聯繫起來的事實亦很少」。
「隨著時間的推移,更多證據的出現,我們和其他人有信心將它們聯繫在一起。進一步研究對於如何將它們聯繫起來至關重要」。
確定網路攻擊來源非常困難,而且常常依賴於共識,而非確鑿證據。
譬如,北韓從未承認涉及索尼電影娛樂公司遭駭客攻擊事件,但一些安全專家和美國政府則對這個理論充滿信心,當然,也不排除這是假警訊的可能,技藝精湛的駭客可能刻意採取手段,讓北韓看起來是網路攻擊事件的源頭。
就勒索病毒WannaCry個案來說,駭客可能只是從「拉撒路組」早期的攻擊中複製了代碼。
但卡巴斯基表示,「可能」在勒索病毒WannaCry中出現假警訊,但也「不太可能」,因為共享代碼已從較晚版本中刪除。
伍德沃德教授補充說:「這當中有很多『如果』」。
「這個證據在法庭上無法成立」,但在北韓有可能被確認為駭客源頭的情況下,「此事值得深入研究」。
迄今為止,這是涉及勒索病毒WannaCry起源的最強理論。不過,也有一些細節顯示,此次網路攻擊並非北韓所為。
首先,中國是此次網路攻擊受影響最嚴重的國家之一,而這並非偶然,因為駭客準備了中文版的勒索信。北韓似乎不太可能對抗其最強大的盟友。俄羅斯也受到嚴重影響。
其次,北韓的網路攻擊目標通常更具針對性,往往具有政治目標。
就索尼電影娛樂公司遭駭客攻擊一案來說,駭客力圖阻止發佈一個嘲笑北韓領導人金正恩的影片。相反,勒索病毒WannaCry的傳播不區分目標,該病毒會感染任何東西。
最後,如果該計劃只是為了賺錢,那它在這個方面也不成功,據對犯罪分子使用的比特幣賬戶的分析,網路攻擊受害者只支付了約6萬美元(46500英鎊)贖金。
目前有超過20萬機器遭勒索病毒感染,這是一個可怕的回報。當然,也許這個贖金只是為了分散人們的注意力,也許還有其他一些政治目的。
另一種可能性是「拉撒路組」是在沒有接受北韓指令的情況下單獨行事。事實上,也許「拉撒路組」駭客與北韓根本就沒有聯繫。
顯然,問題比答案多。在網路戰中,確認事實相當困難。