Bilde: Gizmodo
Vi kan aldri vite hvem gjerningsmennene i WannaCry ransomware angrep egentlig var. Vi vet at de benyttes en exploit som var en del av NSA ‘ s toolkit. Vi vet at utnyttelsen ble lekket av en gruppe kalt The Shadow Meglere. Vi vet at den AMERIKANSKE regjeringen peker på Nord-Korea. Og ny forskning fra sikkerhetsselskapet Flammepunktet indikerer at det er en forbindelse til Sør-Kina.
Sykehus Over England Infisert Med Ransomware, Forlater Pasienter Uten Omsorg
Englands helsevesenet falt som offer for en massiv cyberattack fredag ettermiddag, tvinge flere…
Les mer
I et senere blogginnlegg, Flammepunkt skissert sin språklig analyse av løsepenger notater som ble servert til Wannacry er ofre. Hver note har i utgangspunktet sagt det samme: offeret skal overføre en viss mengde bitcoins til en konto eller deres data vil bli tapt. Men dette var et globalt angrep som rammet rundt 100 land. Så merk var fordelt på 28 språk.
Flashpoint ‘ s forskere har studert notater og finner at hvem forfatteren var, ble de sannsynligvis enten “innfødt eller minst flytende” på Kinesisk. De oppdaget at ut av de 28 forskjellige notater, bare den engelske versjonen og to Kinesiske tegn versjoner (Forenklet og Tradisjonell), synes å ha vært skrevet av et menneske. Alle de 25 andre notater synes å ha blitt oversatt fra engelsk notat ved hjelp av Google Translate.
Den engelske løsepenger notat er nesten perfekt, bortsett fra for hva Flammepunkt kaller “en grell grammatiske feil” som tyder “høyttaleren er ikke-innfødte eller kanskje dårlig utdannet.” Innlegget ikke peke ut hva som grammatiske feil. Ser over oppmerksom på at det er noen feil, men en som skiller seg ut er”, Men du har ikke så god tid.”
I henhold til Flammepunkt, den Kinesiske merknader både inneholde mer informasjon og er annerledes enn alle de andre i innhold, format og tone. Fra innlegget:
En skrivefeil i notatet “帮组” (bang zu) i stedet for “帮助” (bang zhu) betyr “hjelp,” sterkt indikerer at notatet ble skrevet ved hjelp av en Kinesisk-språklige input systemet heller enn å være oversatt fra en annen versjon. Mer generelt, merk gjør bruk av riktig grammatikk, tegnsetting, syntaks, og tegnet valg, noe som indikerer forfatteren trolig var innfødt eller minst flytende.
Google Translate ikke kan håndtere Kinesisk-engelsk og engelsk-til-Kinesisk oversettelse veldig godt.
Alt dette har ført Flammepunkt til å forsiktig konkludere med at “forfatteren(e) av WannaCry er ransomware notater er flytende i Kinesisk, som er språket som brukes er i samsvar med at i det Sørlige Kina, Hong Kong, Taiwan, eller Singapore.”
Men det betyr ikke fortelle oss mye om hackere. Det absolutt ikke bety at de er lokalisert i Kina—hackere kan jobbe fra hvor som helst. Og hackere er kjent for å bevisst misbruk språk for å omgå denne typen analyse. På samme tid, WannaCry hackere har gjort noen merkbart amatør feil som inkluderer bruk av en kill switch som gjorde det enkelt å raskt slå spredning av ransomware ned, og de bruker ikke en automatiserte system for å sikre at en hadde blitt betalt løsepenger.
All denne informasjonen bare legger til intriger rundt WannaCry. Tidligere forskning har pekt på mulige involvering av Lasarus-Gruppen, som er antatt å være av Nord-Korea. Og den AMERIKANSKE regjeringen så sent som i går ser ut til å like denne teorien. Flammepunkt direktør for Asia-Pacific forskning Jon Condra forteller ThreatPost, “forholdet mellom Nord-Korea og Kina, spesielt i intelligens domener, er sannsynligvis mye mer komplisert enn allment verdsatt.” Han sier at dette bare en annen data punktet, og heller enn å motsi andre faste konklusjoner, Flammepunkt arbeid bare “legger til dem.”
[Flammepunkt via Hacker News]