WanaCryptor'de Kuzey Kore'nin Parmağı mı Var?

WanaCryptor ve eski bir saldırı arasında yapılan ilginç eşleştirme, saldırının kaynağı hakkında ipuçları verebilir!

WanaCryptor'de kimin parmağı var?

Bir araştırmacı, Cuma günü dünyayı dize getiren WanaCryptor fidye yazılımıyla daha önce Sony Pictures, Bangladeş Merkez Bankası ve Güney Kore bankalarına yapılan saldırılarda kullanılan araçta ortak kodlara rastladı.

Bu ilginç bağlantı, Google'da çalışan güvenlik araştırmacısı Neel Mehta tarafından paylaşılan bir Twitter mesajında ortaya çıktı. Tweet, WanaCryptor'ün Şubat'taki bir örneğiyle Lazarus Group tarafından kullanılan zararlı arka kapı Cantopee'nin 2015 sürümünden bahsediyordu. Daha önce keşfedilen ve Lazarus Group ile ilişkilendirilen kod parmak izleri, 2013'te Güney Kore'de sabit disklerin kendi kendilerini yok etmesiyle, 2014'te Sony Pictures'ın bir terabayta yakın verisinin silinmesiyle, SWIFT nakit aktarım sisteminin hack'lenerek Bangladeş Merkez Bankası'ndan neredeyse 1 milyar dolar çekilmesiyle eşleştirilmişti.

WanaCryptor ise NSA tarafından geliştirilen saldırı kodlarını kullanarak 150 ülkede tahmini olarak 200.000 bilgisayara saldırı düzenlemişti. Wcry olarak da bilinen zararlı, kurbanlarının sabit diskini şifreleyerek onlardan şifreyi çözmek için 300 dolar ile 600 dolar arasında bir ücret talep ediyor. Saldırı şu anda büyük oranda durdurulmuş durumda. Bunun nedeni, zararlının kullandığı alan adını araç içerisine doğrudan kodlamış olmaları.

Mehta, Lazarus ile WanaCryptor arasında bir bağlantı olduğunu söylese de, bu bağın ne olduğu henüz tam olarak belli değil. WanaCryptor'ün geliştiricileri, Cantopee'nin kodlarını bilerek kendi araçlarına eklemiş olabilirler. Kaspersky Lab'e göre şu an WanaCryptor'ün eski sürümünü inceleyecek daha fazla araştırmacıya ihtiyaç var. Neel Mehta'nın keşfinin WanaCryptor'ün kaynağıyla ilgili şimdiye kadarki en önemli ipucu olduğunu söyleyen Kaspersky araştırmacıları, yeni araştırmacıların desteğiyle saldırının gizeminin çözülebileceğini söylüyor. Lazarus Group hakkında çok az şey biliniyor ancak Kaspersky, grubun Kuzey Kore ile bağlarının olabileceğini daha önce belgelemişti.

Okuyucu Yorumları