勒索软件WannaCry网络攻击：“或与朝鲜有关”？

开开心心

谷歌安全研究员尼尔·梅塔（Neel Mehta）将黑客使用的两个恶意软件样本进行对比后发现了相似之处，其中一个样本出自神秘黑客组织"拉撒路组"。

谁是这次全球网络攻击的幕后黑手呢？目前有种看法指向了朝鲜，但就目前所知来看，这远非结论。

人们也许没有听说过"拉撒路组"（Lazarus Group），但可能见识过这些人的手笔。2014年索尼电影娱乐公司遭黑客攻击案，以及2016年孟加拉央行在美国纽约联邦储备银行的帐户被盗窃案，都与这个相当复杂的黑客团伙有关。

人们普遍认为，"拉撒路组"黑客身在中国，但为朝鲜人办事。

在谷歌公司安全研究员尼尔·梅塔（Neel Mehta）公布新发现后，网络安全专家现在谨慎地将"拉撒路组"与肆虐全球的勒索网络攻击联系起来。梅塔将黑客使用的两个恶意软件样本进行对比后发现了相似之处，其中一个样本出自神秘黑客组织"拉撒路组"。

这仅仅是一大堆证据，也有其他线索需要考虑。

安全专家艾伦·伍德沃德（Alan Woodward）教授通过电子邮件指出，原来的WannaCry代码中的时间戳设置为"UTC + 9 "，也就是比协调时间快9个小时的时区， 而要求赎金的文本使用了机器翻译的英文，但中文部分显然是由母语人士撰写。

伍德沃德教授表示， 这些证据很弱，而且都是间接的，"但是值得进一步调查"。

确定网络攻击来源非常困难。

确定攻击来源并非易事

有关调查已经开始。

俄罗斯安全公司卡巴斯基（Kaspersky）表示："梅塔的发现是迄今为止针对WannaCry起源最为重要的线索"。但是，在得出任何确定的结论之前，还需要更多关于WannaCry早期版本的信息。

卡巴斯基表示，"我们认为，世界各国的研究人员应对这些相似之处展开调查，并尝试发现有关WannaCry起源的更多事实"。

该公司声明说，"回顾孟加拉央行黑客袭击事件，在调查初期，将事件与拉撒勒组黑客联系起来的事实亦很少"。

"随着时间的推移，更多证据的出现，我们和其他人有信心将它们联系在一起。进一步研究对于如何将它们联系起来至关重要"。

确定网络攻击来源非常困难，而且常常依赖于共识，而非确凿证据。

譬如，朝鲜从未承认涉及索尼电影娱乐公司遭黑客攻击事件，但一些安全专家和美国政府则对这个理论充满信心，当然，也不排除这是假警讯的可能。

技艺精湛的黑客可能只是采取手段使朝鲜看起来是网络攻击事件的源头。

就勒索病毒WannaCry个案来说，黑客可能只是从"拉撒路组"早期的攻击中复制了代码。

但卡巴斯基表示，"可能"在勒索病毒WannaCry中出现假警讯，但也"不太可能"，因为共享代码已从较晚版本中删除。

伍德沃德教授补充说："这当中有很多个'如果'"。

"这个证据在法庭上无法成立"，但在朝鲜有可能被确认为黑客源头的情况下，"此事值得深入研究"。

很少有人想到塞特·罗根导演的电影《采访》会有这样的全球性政治影响。

迄今为止，这是涉及勒索病毒WannaCry起源的最强理论。不过，也有一些细节显示，此次网络攻击并非朝鲜所为。

首先，中国是此次网络攻击受影响最严重的国家之一，而这并非偶然，因为黑客准备了中文版的勒索信。朝鲜似乎不太可能对抗其最强大的盟友。俄罗斯也受到严重影响。

其次，朝鲜的网络攻击目标通常更具针对性，往往具有政治目标。

就索尼电影娱乐公司遭黑客攻击一案来说，黑客力图阻止发布一个嘲笑朝鲜领导人金正恩的影片。相反，勒索病毒WannaCry的传播不区分目标，该病毒会感染任何东西。

最后，如果该计划只是为了赚钱，那它在这个方面也不成功，据对犯罪分子使用的比特币账户的分析，网络攻击受害者只支付了约6万美元（46500英镑）赎金。

目前有超过20万机器遭勒索病毒感染，这是一个可怕的回报。当然，也许这个赎金只是为了分散人们的注意力，也许还有其他一些政治目的。

另一种可能性是"拉撒路组"是在没有接受朝鲜指令的情况下单独行事。事实上，也许"拉撒路组"黑客与朝鲜根本就没有联系。

显然，问题比答案多。在网络战中，确认事实相当困难。