勒索軟體「想哭」上周五起肆虐,不過一名英國資安專家暫時制止駭客攻勢,但這名專家表示遭到中國駭客的阻撓。《福布斯》官網報導,「想哭」勒索軟體幕後推手或來自朝鮮。還有網友發現中毒電腦勒索信中文版流暢幽默,英文版反而生硬,進而推測至少團隊中有中國人。
美韓智庫報告曾指出,已被捕的遼寧丹東女首富的鴻翔公司幫朝鮮在瀋陽設立的黑客基地,並捲入索尼影業黑客入侵事件,而江系勢力長期幫助朝鮮發展核武。阿波羅網評論員認為,馬曉紅的生意開始於江澤民掌權時期,她只是充當了中朝秘密合作的一個中間人。
恐襲勒索病毒波及至少150個國家及地區
最近一款勒索病毒「想哭」(WannaCry)在全球肆虐,至今影響150個國家及地區,有網友懷疑,該軟體中文版文字流暢,可能駭客就是中國人。
勒索病毒「想哭」「WannaCry」自12日起肆虐全球電腦,截至14日,已波及至少150個國家及地區、逾20萬個受害者。其中俄羅斯、烏克蘭、台灣、西班牙、日本等地為重災區。
此外,英國公立醫院系統(NHS)部分電腦系統中招,一度癱瘓醫院服務;印尼雅加達一間醫院有400部電腦受感染,無法登入病人紀錄。美國聯邦快遞公司(FedEx)和中國多家大專院校等,也都淪為受害者。
中毒電腦勒索信中文版流暢幽默,英文版反而生硬
中毒電腦桌面顯示了一封勒索信,可以選擇顯示語言,包括中文、韓文、日文、英文等多國語言。信中內容為,若要解鎖你電腦上的檔案,請付300美元(約2100元人民幣)等價的比特幣,若1周內不付款,文件就永遠無法恢復。
不少看過中、英文版本勒索信的中國網友懷疑,駭客是中國人,或至少團隊中有中國人。
他們指,中、英文病毒勒索信內,中文版的文字流暢自然,且帶有獨創的「幽默」,而英文版卻很生硬,甚至有幾處句法和語法出現錯誤,在國外留學過的都寫得比這封信好。
發現駭客漏洞阻病毒擴散,疑有中國駭客阻撓
一名化名「MalwareTech」的英國資安專家「誤打誤撞」下暫時制止駭客攻勢。「無心插柳」的英雄身份星期日曝光,他是22歲的哈欽斯。
星洲日報援引英國媒體報導稱,哈欽斯發現勒索病毒使用一個未註冊的網域名稱散播病毒,他隨即註冊了該網域,在病毒肆虐幾小時後阻止其擴散,報導說,他救了10萬電腦用戶。
哈欽斯表示,他註冊被視為病毒「kill switch」的域名時,懷疑有中國駭客試圖「挾持」域名,妨礙他「抗毒」的努力。
哈欽斯又警告,「想哭」可能包含「後門程式」,就算中招電腦已經修復,仍有可能被駭客輕易注入變種病毒,他預料周一還有另一波駭客攻勢。
難道勒索軟體背後是朝鮮?
《福布斯》官網報導稱,世界各地的政府和安全專家都開始調查誰是「想哭」勒索軟體大規模爆發背後的推手,現在,他們發現出現了一個線索,幕後推手或來自朝鮮。
線索在於代碼。谷歌安全研究員梅赫塔(Neel Mehta)發布了一條神秘的推文,提到了兩款惡意軟體的樣本:一個是WannaCry(「想哭」勒索軟體),另一個樣本,是一個名為拉撒路集團(Lazarus Group)的黑客團伙的創作,後者與2014年對索尼的災難性攻擊相關聯,並且還攻擊了SWIFT銀行系統導致孟加拉國的一家銀行遭受網絡盜竊,盜竊金額達到了創紀錄的8100萬美元。根據許多安全公司的以前的分析,拉撒路集團也屬於朝鮮。
在梅赫塔發推之後,卡巴斯基實驗室檢測了代碼,安全軟體開發商Proofpoint安全研究員達里恩·哈斯(Darien Huss)和安全公司Comae Technologies的創始人、安全專家馬特·蘇徹也進行了代碼監測。所有人一直在積極調查和,捍衛網絡安全,對抗WannaCry,並都發現了勒索軟體與朝鮮之間可能的關聯。
梅赫塔和研究人員在這款勒索軟體中發現,一大塊WannaCry的代碼100%與Contopee的代碼相同,而Contopee是拉撒路集團使用的惡意軟體。WannaCry從2017年2月出現,而Contopee是從2015年2月開始。
賽門鐵克技術總監塔庫爾(Vikram Thakur)表示,攻擊者只是力圖造成全球損害而不是賺錢?從對索尼的攻擊和在韓國的破壞性入侵,勒索軟體的歸屬指向了拉撒路集團,該集團的確有可能參與了這款勒索軟體的大規模爆發,進而引起了在英國醫院出現病人生命堪憂的情況。
但是,對於上述一切,安全專家表示,現在就下定論,還為時尚早。
美國政府:馬曉紅幫朝鮮在瀋陽建立黑客基地
朝鮮黑客在中共江系勢力的支持下曾入侵索尼影業,美國政府報告指出朝鮮黑客的網絡攻擊地點位於已被捕的遼寧丹東女首富馬曉紅的鴻祥集團與朝鮮合資成立的瀋陽七寶山酒店。
美韓智庫報告指出,遼寧丹東女首富馬曉紅的鴻翔公司幫朝鮮在瀋陽設立的黑客基地,捲入索尼影業黑客入侵事件,從那時起該公司已被美國有關機構鎖定。
2016年9月19日,華盛頓高級國防研究中心(C4ADS)與首爾峨山政策研究院20日發布的聯合報告,不僅指稱鴻祥實業向朝鮮提供了總值25萬多美元的可用於核子試爆的氧化鋁,還指鴻祥集團與朝鮮合資成立的瀋陽七寶山酒店被懷疑是朝鮮網絡軍121局的集結地,索尼影業遭黑客入侵據信與他們有關。
121局是朝鮮網絡部隊的代號,由朝鮮網絡黑客精英組成,現編制大約1800人,隸屬於軍方精銳情報機構「偵察總局」。121局中最優秀的學生會被軍方挑選出來進行專業網絡安全培訓,未來的黑客常常會被派往中國,也有部分會派往日本或者歐洲。
報告指出,研究人員通過數字記錄追蹤來確定121局行為模式。據說121局經常使用一個獨特的惡意代碼用來掩蓋自己的痕跡。
作為一個封閉的孤立國家,朝鮮的網絡基礎設施非常落後,其網絡支持據稱由中國瀋陽提供。
鴻祥兩年前被美方鎖定
據公開的資訊,索尼影業黑客入侵事件發生於2014年11月24日。當時黑客組織「和平衛士」(Guardians of Peace)公布了索尼影業員工的電子郵件,其中涉及該公司高管薪酬和索尼非發行電影拷貝等內容。
美國情報官員認為,這次網絡攻擊獲得了朝鮮政府的資助。惠普公司則精確定位到攻擊來自於一家酒店的地下室,這家酒店就是鴻祥實業與朝鮮官方企業合建的七寶山酒店。
2015年1月8日,CNN報導稱,朝鮮秘密駭客網路部隊「121局」在中國遼寧省瀋陽市設有秘密據點,七寶山酒店就是朝鮮駭客活動的地點之一。
當時中共當局否認中方涉及朝鮮黑客攻擊,還曾辯稱:中國好比就是提供了高速公路,至於上面跑什麼車並不知情。但從那時起,鴻祥實業及其創辦人馬曉紅就已經被美方有關機構鎖定。
馬曉紅曾說,「我願意為朝鮮事業粉身碎骨,與政治因素無關。在朝鮮發展事業是一種冒險。」
朝鮮金氏政權多年來一直和江系關係密切,江派要員周永康、曾慶紅、張德江與朝鮮的密切關係不斷被披露。英國媒體曾報導,落馬前的周永康是北京與金氏父子維繫關係的橋樑。
2015年年初底鬧得沸沸揚揚的朝鮮牡丹峰罷演事件,有外媒分析認為,事件起因就是劉雲山2015年10月出訪朝鮮時和金正恩布局,企圖利用牡丹峰演出「綁架」習近平當局默認朝鮮核武器計劃。
如果此次網絡恐襲事件最終證實和朝鮮有關,感到意外的人可能不多。最終的調查結果如果指向習近平的反對派江系,也不是沒有可能。
阿波羅網林億報導
