勒索软件WannaCry今年5月12日之后入侵全球超过23万台电脑。据专家分析,从语言角度分析,想哭勒索信很有可能是出自母语是中文的人之手,可能是中国南方人。之前多家网络安全公司表示,WannaCry蠕虫与朝鲜黑客组织Lazarus有关联,理由是软件代码中的相似性。
25日,日媒报道朝鲜网络士兵组成团队,并以中国的丹东、沈阳、长春和青岛等为基地,通过网吧等发动攻击。
从5月12日开始,一种名叫WannaCry的勒索软件病毒在全球扩散,专门攻击Windows旧系统,尤其以Windows7系统遭到攻击的最多。
WannaCry病毒爆发后,微软公司紧急发布系统升级补丁包,与此同时,包括Google、卡巴斯基、赛门铁克等全球网络安全公司进行研究,并发表消息,表示WannaCry蠕虫与朝鲜黑客组织Lazarus有关联,理由是软件代码中的相似性。
近日网络安全公司FlashPoint的研究人员从语言的角度分析,试图寻找到WannaCry开发者的源头。
英媒:想哭病毒勒索信可能是中国人写的
英国科技网站The Register报导,网络安全公司Flashpoint分析多个“想哭”勒索信样本后发现,除了三个语言样本外,其它语言都是使用谷歌翻译工具翻译的。
Flashpoint在报告中表示,分析显示,几乎所有勒索信的译文,都是利用Google翻译工具,只有三个样本,即英文版、简体中文版及繁体中文版,不是机器翻译,而是由人写的。另外,虽然英文版是人写的,但出现明显的语法错误,意味着撰写人的母语可能不是英文,或者教育程度不高。
在分析英语和中文两个版本,研究人员发现中文的勒索信息,语法完全正确,包括标点符号的使用,词汇的选择都符合使用中文简体人的习惯,而且文字被认为是使用了拼音输入的。此外,文字中出现〝帮助〞写成〝帮组〞,〝星期〞写为〝礼拜〞,〝防毒软体〞用的是〝杀毒软件〞,所以认为这些文字的书写者很可能来自中国大陆南方的人。
另外,Flashpoint发现勒索信的简体中文版及繁体中文版的内容、格式及语调,和其它语文版本有明显差异,而且中文内文的长度比英文还长。这意味着撰写人很可能是母语是中文的人或者中文十分流利的人。
Flashpoint根据分析结果推测,勒索信是先有中文版,才有英文版,而且撰写者很可能是中文流利且略懂英文的人。
相比之下,英文的勒索信息更简单,存在一些语法错误,用词也不像英语为母语者所为。
WannaCry的中文勒索界面。(网络图片)
WannaCry的英文勒索界面。(网络图片)
报导举例,在中文的勒索信息中,有一句〝就算老天爷来了也不能恢复这些文档〞,对应的英语使用的是〝Nobody can recover your files without our decryption service〞(没有我们的解密服务,没人能够恢复你的文档)。而〝请您放心,我是绝不会骗你的〞语句,在英文中并没有出现。
揭底朝鲜网军:推算达7000人,以中国四个城市为基地,组团行动
日媒日经新闻网25日报道,1998年,根据当时的朝鲜总书记金正日的指示,在侦察总局内设立了核心网络部队“121局”,此后网络攻击变得活跃。担任韩国非营利组织“NK知识人连带”代表的脱北者金兴光表示,“在网络部队工作的是从朝鲜全国选抜出来的精英人才”。
朝鲜将成绩优秀的学生集中于平壤的科学英才学校“金星第一”和“金星第二”,实施全方面的IT教育。然后使之进入金兴光曾工作过的朝鲜咸兴计算机科技大学和国防大学等。每年有500人左右成为网络士兵,据推算目前达到7000人。
报道称,这些人有机会住上一般人无法入住的高档住宅,为提高技术,还能经常前往海外。此外,这些人还能获得想阅读的书籍和想使用的计算机。如果以第一名的成绩毕业,能够将家人从地方叫到平壤,并且获得加入朝鲜劳动党的资格。
报道强调,根据“系统分析”和“密码处理”等分工体制,朝鲜的网络士兵将根据作战行动组成团队。以中国的丹东、沈阳、长春和青岛等为基地,通过网吧等发动攻击。此外还伪装成外出打工者,在马来西亚等地展开活动。
2015年1月8日,CNN报导称,朝鲜秘密骇客网路部队〝121局〞在中国辽宁省沈阳市设有秘密据点,七宝山酒店就是朝鲜骇客活动的地点之一。
2104年索尼影业遭到网络攻击时,惠普公司曾精确定位到攻击来自于一家酒店的地下室,这家酒店就是鸿祥实业与朝鲜官方企业合建的七宝山酒店。
日经新闻报道指出,一般看法认为,朝鲜的网络攻击能力与其他国家相比处于“中等水平”。在专家之间有分析认为,攻击力落后美国和中国,与伊朗处于相同水平。美国赛门铁克的维克拉姆·塔库尔(Vikram Thakur)认为,“分析此次病毒之后发现,开发人员的技能水平处于‘中等之下’”。
或意在获取外汇
日经新闻网的报道表示,尽管朝鲜黑客水平一般,但这次想哭病毒利用了泄漏到网上的美国国家安全局(NSA)开发的技术,造成了爆炸式的病毒感染。
朝鲜攻击的意图一般被认为是获取外汇。在遭受国际社会经济制裁的背景下,对于核导弹开发来说,网络攻击似乎是宝贵的收入来源。网络部队还利用中国企业等的名义,从事用于IT产品和家电的软件的代工。
电脑安全软件生产商赛门铁克认为,今年来多起黑客攻击皆指向朝鲜黑客所为——包括2014年索尼电影公司遭到网络攻击,2016年波兰银行遭恶意软体攻击,以及同年的孟加拉央行遭窃取8,100万美元。
卡巴斯基研究人员认为,朝鲜黑客行动已袭击台湾、哥斯达黎加、埃塞俄比亚、加蓬、印度、印尼、伊拉克、肯尼亚、马来西亚、尼日利亚、波兰、泰国及乌拉圭等国家及地区的金融机构。
阿波罗网林亿报道
来源:阿波罗网林亿报道
没有评论:
发表评论