勒索软件“想哭”上周五起肆虐,不过一名英国资安专家暂时制止骇客攻势,但这名专家表示遭到中国骇客的阻挠。《福布斯》官网报道,“想哭”勒索软件幕后推手或来自朝鲜。还有网友发现中毒电脑勒索信中文版流畅幽默,英文版反而生硬,进而推测至少团队中有中国人。
美韩智库报告曾指出,已被捕的辽宁丹东女首富的鸿翔公司帮朝鲜在沈阳设立的黑客基地,并卷入索尼影业黑客入侵事件,而江系势力长期帮助朝鲜发展核武。阿波罗网评论员认为,马晓红的生意开始于江泽民掌权时期,她只是充当了中朝秘密合作的一个中间人。
恐袭勒索病毒波及至少150个国家及地区
最近一款勒索病毒“想哭”(WannaCry)在全球肆虐,至今影响150个国家及地区,有网友怀疑,该软件中文版文字流畅,可能骇客就是中国人。
勒索病毒“想哭”“WannaCry”自12日起肆虐全球电脑,截至14日,已波及至少150个国家及地区、逾20万个受害者。其中俄罗斯、乌克兰、台湾、西班牙、日本等地为重灾区。
此外,英国公立医院系统(NHS)部分电脑系统中招,一度瘫痪医院服务;印尼雅加达一间医院有400部电脑受感染,无法登入病人纪录。美国联邦快递公司(FedEx)和中国多家大专院校等,也都沦为受害者。
中毒电脑勒索信中文版流畅幽默,英文版反而生硬
中毒电脑桌面显示了一封勒索信,可以选择显示语言,包括中文、韩文、日文、英文等多国语言。信中内容为,若要解锁你电脑上的档案,请付300美元(约2100元人民币)等价的比特币,若1周内不付款,文件就永远无法恢复。
不少看过中、英文版本勒索信的中国网友怀疑,骇客是中国人,或至少团队中有中国人。
他们指,中、英文病毒勒索信内,中文版的文字流畅自然,且带有独创的“幽默”,而英文版却很生硬,甚至有几处句法和语法出现错误,在国外留学过的都写得比这封信好。
发现骇客漏洞阻病毒扩散,疑有中国骇客阻挠
一名化名“MalwareTech”的英国资安专家“误打误撞”下暂时制止骇客攻势。“无心插柳”的英雄身份星期日曝光,他是22岁的哈钦斯。
星洲日报援引英国媒体报道称,哈钦斯发现勒索病毒使用一个未注册的网域名称散播病毒,他随即注册了该网域,在病毒肆虐几小时后阻止其扩散,报道说,他救了10万电脑用户。
哈钦斯表示,他注册被视为病毒“kill switch”的域名时,怀疑有中国骇客试图“挟持”域名,妨碍他“抗毒”的努力。
哈钦斯又警告,“想哭”可能包含“后门程式”,就算中招电脑已经修复,仍有可能被骇客轻易注入变种病毒,他预料周一还有另一波骇客攻势。
难道勒索软件背后是朝鲜?
《福布斯》官网报道称,世界各地的政府和安全专家都开始调查谁是“想哭”勒索软件大规模爆发背后的推手,现在,他们发现出现了一个线索,幕后推手或来自朝鲜。
线索在于代码。谷歌安全研究员梅赫塔(Neel Mehta)发布了一条神秘的推文,提到了两款恶意软件的样本:一个是WannaCry(“想哭”勒索软件),另一个样本,是一个名为拉撒路集团(Lazarus Group)的黑客团伙的创作,后者与2014年对索尼的灾难性攻击相关联,并且还攻击了SWIFT银行系统导致孟加拉国的一家银行遭受网络盗窃,盗窃金额达到了创纪录的8100万美元。根据许多安全公司的以前的分析,拉撒路集团也属于朝鲜。
在梅赫塔发推之后,卡巴斯基实验室检测了代码,安全软件开发商Proofpoint安全研究员达里恩·哈斯(Darien Huss)和安全公司Comae Technologies的创始人、安全专家马特·苏彻也进行了代码监测。所有人一直在积极调查和,捍卫网络安全,对抗WannaCry,并都发现了勒索软件与朝鲜之间可能的关联。
梅赫塔和研究人员在这款勒索软件中发现,一大块WannaCry的代码100%与Contopee的代码相同,而Contopee是拉撒路集团使用的恶意软件。WannaCry从2017年2月出现,而Contopee是从2015年2月开始。
赛门铁克技术总监塔库尔(Vikram Thakur)表示,攻击者只是力图造成全球损害而不是赚钱?从对索尼的攻击和在韩国的破坏性入侵,勒索软件的归属指向了拉撒路集团,该集团的确有可能参与了这款勒索软件的大规模爆发,进而引起了在英国医院出现病人生命堪忧的情况。
但是,对于上述一切,安全专家表示,现在就下定论,还为时尚早。
美国政府:马晓红帮朝鲜在沈阳建立黑客基地
朝鲜黑客在中共江系势力的支持下曾入侵索尼影业,美国政府报告指出朝鲜黑客的网络攻击地点位于已被捕的辽宁丹东女首富马晓红的鸿祥集团与朝鲜合资成立的沈阳七宝山酒店。
美韩智库报告指出,辽宁丹东女首富马晓红的鸿翔公司帮朝鲜在沈阳设立的黑客基地,卷入索尼影业黑客入侵事件,从那时起该公司已被美国有关机构锁定。
2016年9月19日,华盛顿高级国防研究中心(C4ADS)与首尔峨山政策研究院20日发布的联合报告,不仅指称鸿祥实业向朝鲜提供了总值25万多美元的可用于核试验的氧化铝,还指鸿祥集团与朝鲜合资成立的沈阳七宝山酒店被怀疑是朝鲜网络军121局的集结地,索尼影业遭黑客入侵据信与他们有关。
121局是朝鲜网络部队的代号,由朝鲜网络黑客精英组成,现编制大约1800人,隶属于军方精锐情报机构“侦察总局”。121局中最优秀的学生会被军方挑选出来进行专业网络安全培训,未来的黑客常常会被派往中国,也有部分会派往日本或者欧洲。
报告指出,研究人员通过数字记录追踪来确定121局行为模式。据说121局经常使用一个独特的恶意代码用来掩盖自己的痕迹。
作为一个封闭的孤立国家,朝鲜的网络基础设施非常落后,其网络支持据称由中国沈阳提供。
鸿祥两年前被美方锁定
据公开的资讯,索尼影业黑客入侵事件发生于2014年11月24日。当时黑客组织〝和平卫士〞(Guardians of Peace)公布了索尼影业员工的电子邮件,其中涉及该公司高管薪酬和索尼非发行电影拷贝等内容。
美国情报官员认为,这次网络攻击获得了朝鲜政府的资助。惠普公司则精确定位到攻击来自于一家酒店的地下室,这家酒店就是鸿祥实业与朝鲜官方企业合建的七宝山酒店。
2015年1月8日,CNN报导称,朝鲜秘密骇客网路部队〝121局〞在中国辽宁省沈阳市设有秘密据点,七宝山酒店就是朝鲜骇客活动的地点之一。
当时中共当局否认中方涉及朝鲜黑客攻击,还曾辩称:中国好比就是提供了高速公路,至于上面跑什么车并不知情。但从那时起,鸿祥实业及其创办人马晓红就已经被美方有关机构锁定。
马晓红曾说,“我愿意为朝鲜事业粉身碎骨,与政治因素无关。在朝鲜发展事业是一种冒险。”
朝鲜金氏政权多年来一直和江系关系密切,江派要员周永康、曾庆红、张德江与朝鲜的密切关系不断被披露。英国媒体曾报导,落马前的周永康是北京与金氏父子维系关系的桥梁。
2015年年初底闹得沸沸扬扬的朝鲜牡丹峰罢演事件,有外媒分析认为,事件起因就是刘云山2015年10月出访朝鲜时和金正恩布局,企图利用牡丹峰演出“绑架”习近平当局默认朝鲜核武器计划。
如果此次网络恐袭事件最终证实和朝鲜有关,感到意外的人可能不多。最终的调查结果如果指向习近平的反对派江系,也不是没有可能。
阿波罗网林亿报道