勒索軟件WannaCry今年5月12日之後入侵全球超過23萬台電腦。據專家分析,從語言角度分析,想哭勒索信很有可能是出自母語是中文的人之手,可能是中國南方人。之前多家網絡安全公司表示,WannaCry蠕蟲與朝鮮黑客組織Lazarus有關聯,理由是軟件代碼中的相似性。
25日,日媒報道朝鮮網絡士兵組成團隊,並以中國的丹東、瀋陽、長春和青島等為基地,通過網吧等發動攻擊。
從5月12日開始,一種名叫WannaCry的勒索軟件病毒在全球擴散,專門攻擊Windows舊系統,尤其以Windows7系統遭到攻擊的最多。
WannaCry病毒爆發後,微軟公司緊急發佈系統升級補丁包,與此同時,包括Google、卡巴斯基、賽門鐵克等全球網絡安全公司進行研究,並發表消息,表示WannaCry蠕蟲與朝鮮黑客組織Lazarus有關聯,理由是軟件代碼中的相似性。
近日網絡安全公司FlashPoint的研究人員從語言的角度分析,試圖尋找到WannaCry開發者的源頭。
英媒:想哭病毒勒索信可能是中國人寫的
英國科技網站The Register報導,網絡安全公司Flashpoint分析多個「想哭」勒索信樣本後發現,除了三個語言樣本外,其它語言都是使用谷歌翻譯工具翻譯的。
Flashpoint在報告中表示,分析顯示,幾乎所有勒索信的譯文,都是利用Google翻譯工具,只有三個樣本,即英文版、簡體中文版及繁體中文版,不是機器翻譯,而是由人寫的。另外,雖然英文版是人寫的,但出現明顯的語法錯誤,意味着撰寫人的母語可能不是英文,或者教育程度不高。
在分析英語和中文兩個版本,研究人員發現中文的勒索信息,語法完全正確,包括標點符號的使用,詞彙的選擇都符合使用中文簡體人的習慣,而且文字被認為是使用了拼音輸入的。此外,文字中出現〝幫助〞寫成〝幫組〞,〝星期〞寫為〝禮拜〞,〝防毒軟體〞用的是〝殺毒軟件〞,所以認為這些文字的書寫者很可能來自中國大陸南方的人。
另外,Flashpoint發現勒索信的簡體中文版及繁體中文版的內容、格式及語調,和其它語文版本有明顯差異,而且中文內文的長度比英文還長。這意味着撰寫人很可能是母語是中文的人或者中文十分流利的人。
Flashpoint根據分析結果推測,勒索信是先有中文版,才有英文版,而且撰寫者很可能是中文流利且略懂英文的人。
相比之下,英文的勒索信息更簡單,存在一些語法錯誤,用詞也不像英語為母語者所為。
WannaCry的中文勒索界面。(網絡圖片)
WannaCry的英文勒索界面。(網絡圖片)
報導舉例,在中文的勒索信息中,有一句〝就算老天爺來了也不能恢復這些文檔〞,對應的英語使用的是〝Nobody can recover your files without our decryption service〞(沒有我們的解密服務,沒人能夠恢復你的文檔)。而〝請您放心,我是絕不會騙你的〞語句,在英文中並沒有出現。
揭底朝鮮網軍:推算達7000人,以中國四個城市為基地,組團行動
日媒日經新聞網25日報道,1998年,根據當時的朝鮮總書記金正日的指示,在偵察總局內設立了核心網絡部隊「121局」,此後網絡攻擊變得活躍。擔任韓國非營利組織「NK知識人連帶」代表的脫北者金興光表示,「在網絡部隊工作的是從朝鮮全國選抜出來的精英人才」。
朝鮮將成績優秀的學生集中於平壤的科學英才學校「金星第一」和「金星第二」,實施全方面的IT教育。然後使之進入金興光曾工作過的朝鮮咸興計算機科技大學和國防大學等。每年有500人左右成為網絡士兵,據推算目前達到7000人。
報道稱,這些人有機會住上一般人無法入住的高檔住宅,為提高技術,還能經常前往海外。此外,這些人還能獲得想閱讀的書籍和想使用的計算機。如果以第一名的成績畢業,能夠將家人從地方叫到平壤,並且獲得加入朝鮮勞動黨的資格。
報道強調,根據「系統分析」和「密碼處理」等分工體制,朝鮮的網絡士兵將根據作戰行動組成團隊。以中國的丹東、瀋陽、長春和青島等為基地,通過網吧等發動攻擊。此外還偽裝成外出打工者,在馬來西亞等地展開活動。
2015年1月8日,CNN報導稱,朝鮮秘密駭客網路部隊〝121局〞在中國遼寧省瀋陽市設有秘密據點,七寶山酒店就是朝鮮駭客活動的地點之一。
2104年索尼影業遭到網絡攻擊時,惠普公司曾精確定位到攻擊來自於一家酒店的地下室,這家酒店就是鴻祥實業與朝鮮官方企業合建的七寶山酒店。
日經新聞報道指出,一般看法認為,朝鮮的網絡攻擊能力與其他國家相比處於「中等水平」。在專家之間有分析認為,攻擊力落後美國和中國,與伊朗處於相同水平。美國賽門鐵克的維克拉姆·塔庫爾(Vikram Thakur)認為,「分析此次病毒之後發現,開發人員的技能水平處於『中等之下』」。
勒索病毒(Wanna Cry)肆虐世界
或意在獲取外匯
日經新聞網的報道表示,儘管朝鮮黑客水平一般,但這次想哭病毒利用了泄漏到網上的美國國家安全局(NSA)開發的技術,造成了爆炸式的病毒感染。
朝鮮攻擊的意圖一般被認為是獲取外匯。在遭受國際社會經濟制裁的背景下,對於核導彈開發來說,網絡攻擊似乎是寶貴的收入來源。網絡部隊還利用中國企業等的名義,從事用於IT產品和家電的軟件的代工。
電腦安全軟件生產商賽門鐵克認為,今年來多起黑客攻擊皆指向朝鮮黑客所為——包括2014年索尼電影公司遭到網絡攻擊,2016年波蘭銀行遭惡意軟體攻擊,以及同年的孟加拉央行遭竊取8,100萬美元。
卡巴斯基研究人員認為,朝鮮黑客行動已襲擊台灣、哥斯達黎加、埃塞俄比亞、加蓬、印度、印尼、伊拉克、肯雅、馬來西亞、尼日利亞、波蘭、泰國及烏拉圭等國家及地區的金融機構。
阿波羅網林億報道
