WannaCry三週年，美國披露新型朝鮮惡意軟體疑似摻水？

大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

WannaCry爆發三週年之際，美國政府一次性集中披露了三種新型朝鮮惡意軟體家族，成了安全圈熱議的話題。

殊不知，結合三年前WannaCry推動美國政府，2017年5月12日開始披露朝鮮惡意軟體、黑客活動的特殊時間節點，這顯然是一場有計劃的“美式獻禮”，甚至還可能摻了水。 

話從何來？先從披露惡意軟體事件本身來看。 

首先，這是一次集齊國土安全部網路安全和基礎設施安全域性（DHS CISA）、聯邦調查局（FBI）、國防部（DoD）以及網路司令部（USCYBERCOM）四大機構的聯合行動，陣勢十足自然少不了計劃。 

（三種新型朝鮮惡意軟體家族資訊）

其次，從美國網路司令部VirusTotal帳戶披露樣本來看，遠控木馬COPPERHEDGE、惡意軟體植入物TAINTEDSCRIBE和PEBBLEDASH雖是三種惡意軟體家族，實際卻涉及五個具體樣本。

（美國網路司令部披露五個惡意軟體樣本）

大部分媒體都說是三種新型惡意軟體，但從零日找到了資料來看，有一種並不能完全稱之為新樣本。因為從程式碼相似性比對資料來看，美國政府命名為COPPERHEDGE的遠控木馬，極可能是部分安全公司追蹤的Manuscrypt惡意軟體家族。

（惡意軟體樣本歸因分析資料）

 從歸因引擎比對惡意軟體程式碼，COPPERHEDGE與Manuscrypt重合度高達100%，也證實了這一點。 美國政府的“新”，多少可能還是摻了點水。當然，你要說沒準是官方（最終）名稱不同，也不排除這種可能。

 除了高相似性的COPPERHEDGE，TAINTEDSCRIBE和PEBBLEDASH兩個樣本的識別率也比較高。從VirusTotal測試71個防病毒引擎，超過35個有效識別的資料來看，安全威脅尚在可控範圍。 至於美國政府為什麼能在這個時間節點披露一波朝鮮惡意軟體，可能就不單是有計劃，還是下了血本的。留意4月新聞，應該對美國政府500萬美元重金懸賞朝鮮非法網路活動訊息，有些印象。 

 

當時，也是美國國務院、財政部、國土安全部和司法部四大機構聯合釋出公告。公告中，先是洋洋灑灑地大篇幅介紹了朝鮮背景黑客的全球威脅性，緊接著就說出500萬美元，公開懸賞朝鮮網路空間非法活動資訊，不管是已發生的還是正在實施，只要提供可用資訊就能拿到賞金。 

（懸賞網站）

 4月不計成本的廣撒大網，也就有了5月的收穫。不能說懸賞的百分百效應，但美國政府能順利在WannaCry三週年之際，一次性披露5個惡意軟體樣本，必然和懸賞有關係。

有些人會好奇，為什麼三年時間，美國政府在WannaCry這件事上依然揪著朝鮮不放，除去政治矛盾，最大的原因就是當初WannaCry利用NSA武器庫漏洞橫掃全球時，狠狠跌了某人的面子。  

當然，不管背後糾葛如何，美國公佈新型惡意軟體樣本，都是一件好事。最後，對WannaCry三週年，美國披露新型朝鮮惡意軟體，你怎麼看？

參考資料：

[1] ZDNet《WannaCry三週年之際，美國披露了新的朝鮮惡意軟體》