Med damm nu stabiliserats efter “WannaCry,” den största ransomware attack i historia, it-säkerhet och experter tar en djupdykning i hur det genomfördes, vad som kan göras för att skydda datorer från framtida överträdelser och, det svåraste av alla, som är att skylla.
Utöver den ofta använda förkortning att Nordkorea var sannolikt bakom attacken ligger en mer komplicerade historien om uppkomsten av en ökänd grupp av hackare som kallas “Lasarus,” som får vara med den hemliga hålor i nordöstra Kina och har skapat en virtuell “malware factory” som skulle kunna utlösa en mycket mer förödelse i framtiden.
Vilka är de?
December 19, 2014, bara en månad efter en förödande hacka linkade Sony Pictures Entertainment, FBI: s fältkontor i San Diego ett pressmeddelande anger Nordkorea var boven i dramat och att säga sådana it-angrepp utgör “ett av de allvarligaste nationella säkerheten faror” till Usa.
Dess anspråk Nordkorea var att skylla på har ifrågasatts.
Ett konsortium lett av Novetta inledde “Operation Blockbuster” och 2016 släppte en detaljerad rapport om den attack som ställde upp med FBI: s slutsats att den taktik, de verktyg och resurser som starkt anges det arbete som en “strukturerad, resurser och motiverad organisation”, men sade att dess analys kunde inte stödja direkt erkännande av en stat.
Det bestäms attack “har genomförts av en och samma grupp, eller potentiellt mycket nära samman grupper, dela tekniska resurser, infrastruktur och även tasking.”
Det heter gruppen Lazarus och knöt den till en sträng av attacker som går tillbaka till 2007 eller 2009.
Forskare vid it-säkerhet jätte Kaspersky Labs, som också deltog i Operation Blockbuster, gissade Lazarus angripare är troligen ligger i en tidszon åtta eller nio timmar före Greenwich Mean Time – som skulle bestå av Kina, Malaysia och delar av Indonesien, bland andra platser, eftersom de verkar för att börja jobba vid runt midnatt GMT och paus för lunch tre timmar senare.
De hävdade till och med hackare får ungefär 6-7 timmar sömn per natt.
Det sade också att det finns indikationer på att det koreanska språket på en majoritet av de datorer som används.
James Scott, senior fellow vid Institute for Critical Infrastructure Technology, en Washington-baserad tankesmedja, sade gruppen tros att lägga ut utvecklingen av skadlig kod att “många yttre hot aktörer.”
Men han sade att alla anslutningar mellan Lazarus och Nordkorea är fortfarande oklara.
Jon Condra, chef för Asia Pacific forskning på it-säkerhetsföretaget Flashpoint, försiktigt noteras teorin åtminstone några Lazarus Grupp hackare arbetar i Kina, och att de kan innehålla nordkoreanerna.
“Det är allmänt trott att åtminstone några nordkoreanska hacka enheter driva ut av Nordöstra Kina, staden Shenyang, i synnerhet, men fakta är liten,” sade han. “Det är fullt möjligt att Lasarus Gruppen är inte helt består av nordkoreanska aktörer, men kan också ha Kinesiska medlemmar.”
Kaspersky tog en titt in Lazarus följande försök heist på $900 miljoner från central bank of Bangladesh i februari förra året. Det finns Lazarus är både att öka sin verksamhet och morphing snabbt.
Enligt Kaspersky, Lazarus-Gruppen har nu fått sin egen it-relaterad brottslighet undergrupp, dubbade BlueNoroff, för att hjälpa till att finansiera sin verksamhet genom attacker mot banker, kasinon, finansiella institutioner och aktörer.
Störande och “asymmetrisk” typ av krigföring klart gör det till ett vapen Nordkorea kan antas vill utnyttja mot sina betydligt mer kraftfull motståndare i en militär konflikt.
It-relaterad brottslighet skulle också verkar vara mycket attraktiva för Nordkorea. Det är svårt att spåra, kan göras på billiga och för dem som kan behärska den tekniska kompetens, möjligheterna verkar vara överallt. Det är ett mindre riskfyllt sätt för att skaffa olagliga inkomst än andra aktiviteter Nordkorea har anklagats för i det förflutna, såsom narkotikahandel och förfalskning US $100 räkningar.
Den AMERIKANSKA regeringen har inte skyllas WannaCry på Nordkorea, vilket avspeglar det faktum att en avgörande roll inom en stat kan vara ett sisyfosarbete.
Vissa kampanjer hänföras till Lazarus-Gruppen föreslår en lägre kvalificerade motståndare än man kan förvänta sig från en med full statligt stöd – en faktor Beau Skogen, biträdande chef för It-Statskonst Initiativ på Atlantic Rådet, säger är ett tecken på “en suddig linje” mellan statliga och icke-statliga aktörer.
“Många länder tillåter – eller åtminstone tolerera icke – statliga aktörer att göra saker som är ideologiskt inriktade,” sade han. “Med Nordkorea, det tycks vara fallet att de litar väldigt mycket på denna typ av kriminella element-amatörer som proffs. Det är en dominans av frågetecken.”