WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

零日情報局發表於2020-05-13

大家好,我是 零日情報局

本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju


WannaCry爆發三週年之際,美國政府一次性集中披露了三種新型朝鮮惡意軟體家族,成了安全圈熱議的話題。


殊不知,結合三年前WannaCry推動美國政府,2017年5月12日開始披露朝鮮惡意軟體、黑客活動的特殊時間節點,這顯然是一場有計劃的“美式獻禮”,甚至還可能摻了水。 


話從何來?先從披露惡意軟體事件本身來看。 


首先,這是一次集齊國土安全部網路安全和基礎設施安全域性(DHS CISA)、聯邦調查局(FBI)、國防部(DoD)以及網路司令部(USCYBERCOM)四大機構的聯合行動,陣勢十足自然少不了計劃。 


WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?
(三種新型朝鮮惡意軟體家族資訊)


其次,從美國網路司令部VirusTotal帳戶披露樣本來看,遠控木馬COPPERHEDGE、惡意軟體植入物TAINTEDSCRIBE和PEBBLEDASH雖是三種惡意軟體家族,實際卻涉及五個具體樣本。


WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

(美國網路司令部披露五個惡意軟體樣本)


大部分媒體都說是三種新型惡意軟體,但從零日找到了資料來看,有一種並不能完全稱之為新樣本。因為從程式碼相似性比對資料來看,美國政府命名為COPPERHEDGE的遠控木馬,極可能是部分安全公司追蹤的Manuscrypt惡意軟體家族。


WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

(惡意軟體樣本歸因分析資料)


 從歸因引擎比對惡意軟體程式碼,COPPERHEDGE與Manuscrypt重合度高達100%,也證實了這一點。 美國政府的“新”,多少可能還是摻了點水。當然,你要說沒準是官方(最終)名稱不同,也不排除這種可能。


 除了高相似性的COPPERHEDGE,TAINTEDSCRIBE和PEBBLEDASH兩個樣本的識別率也比較高。從VirusTotal測試71個防病毒引擎,超過35個有效識別的資料來看,安全威脅尚在可控範圍。 至於美國政府為什麼能在這個時間節點披露一波朝鮮惡意軟體,可能就不單是有計劃,還是下了血本的。留意4月新聞,應該對美國政府500萬美元重金懸賞朝鮮非法網路活動訊息,有些印象。 


WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

 

當時,也是美國國務院、財政部、國土安全部和司法部四大機構聯合釋出公告。公告中,先是洋洋灑灑地大篇幅介紹了朝鮮背景黑客的全球威脅性,緊接著就說出500萬美元,公開懸賞朝鮮網路空間非法活動資訊,不管是已發生的還是正在實施,只要提供可用資訊就能拿到賞金。 


WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?

(懸賞網站)

 4月不計成本的廣撒大網,也就有了5月的收穫。不能說懸賞的百分百效應,但美國政府能順利在WannaCry三週年之際,一次性披露5個惡意軟體樣本,必然和懸賞有關係。


有些人會好奇,為什麼三年時間,美國政府在WannaCry這件事上依然揪著朝鮮不放,除去政治矛盾,最大的原因就是當初WannaCry利用NSA武器庫漏洞橫掃全球時,狠狠跌了某人的面子。  


當然,不管背後糾葛如何,美國公佈新型惡意軟體樣本,都是一件好事。最後,對WannaCry三週年,美國披露新型朝鮮惡意軟體,你怎麼看?


參考資料:

[1] ZDNet《WannaCry三週年之際,美國披露了新的朝鮮惡意軟體》


WannaCry三週年,美國披露新型朝鮮惡意軟體疑似摻水?



相關文章