image

Symantec: Sterke link tussen Sony-hackers en WannaCry

dinsdag 23 mei 2017, 10:15 door Redactie, 5 reacties

De WannaCry-ransomware is zeer waarschijnlijk verspreid door dezelfde groep hackers die eerder Sony en de Centrale Bank van Bangladesh wisten te hacken, zo meldt beveiligingsbedrijf Symantec. Vorige week kwamen Kaspersky Lab, BAE Systems en ook Symantec al met het bericht dat er een link was tussen deze groep hackers en de WannaCry-ransomware.

Dit werd gebaseerd op een stukje code in een vroege versie van de ransomware die ook in malware van de Lazarus Group werd aangetroffen. Nu stelt Symantec dat het verdere gegevens heeft gevonden die op een link tussen de hackersgroep en WannaCry duiden. Voor de wereldwijde uitbraak van 12 mei werden in februari, maart en april al een eerdere versie van WannaCry bij gerichte aanvallen ingezet. Uit onderzoek van Symantec komt naar voeren dat de tools, technieken en infrastructuur van de aanvallers veel overeenkomsten met die van de Lazarus Group hebben.

Deze eerdere WannaCry-versies gebruikten gestolen inloggegevens om zich op netwerken te verspreiden. Na de eerste WannaCry-aanval in februari werden op het netwerk van het slachtoffer drie malware-exemplaren aangetroffen die op Lazarus duiden. In maart en april werd een Trojan gebruikt om WannaCry te verspreiden, wat een aangepaste backdoor bleek te zijn die eerder door Lazarus is gebruikt. Verder zijn ook ip-adressen aangetroffen die eerder door Lazarus zouden zijn gebruikt. Daarnaast zijn er nu meerdere malware-exemplaren van Lazarus ontdekt die code met WannaCry delen. Sommige experts twijfelen echter aan de link tussen de Lazarus Group en WannaCry.

Reacties (5)
23-05-2017, 12:16 door Anoniem
Nieuws van Symantec, Kaspersky of security gurus heeft gretig aftrek. Blijkbaar is er vraag. De te vroeg getrokken conclusies zouden voor de security community een wake up call moeten zijn over bewijs bij het beschuldigende nieuws.

In de wereld van staatsvijanden kan je van twee zaken op aan: bijna niemand weet welke informatie goed is en bedrijven die zich er publiek mee bemoeien doen dat voor de winst.

Bedrijven die de beschuldigingen doen hebben eigen motieven en belangen om in het nieuws te komen. De vorige beschuldiging waren te makkelijk, te gefocust, te snel. Toch leverde het publiciteit op. Je kan als securitybedrijf of guru weinig fout doen als je beschuldigend naar de staatsvijand wijst. Het geeft aandacht, het verkoopt, dus haalt het makkelijk de publiciteit. Objectiviteit is in dat nieuws niet makkelijk te vinden en de kritiek op de beschuldigingen komt nauwelijks in het nieuws want er is geen aandacht voor en verkoopt niet.

De volgende regel bij nieuws over beschuldigingen zou vaker mogen worden toegepast: stel je voor dat er beschuldigingen worden gedaan door een vage kennis en dat die gericht zijn op iemand die je goed kent. Welke objectiviteit zou je nodig hebben om de beschuldigingen te kunnen publiceren.
23-05-2017, 13:36 door Anoniem
In plaats van de boodschappers proberen om te brengen en feiten in twijfel te trekken kun je ook eens het geheel beschouwen, ondersteund door inmiddels bekende feiten.

Het was al vrij vroeg duidelijk dat er een link was met Noord Korea, maar bijna niemand had het daar over. Wat we nu bevestigd zien verandert het beeld van het landschap van staatscriminaliteit. Het zijn niet langer vooral targeted attacks met als doel inlichtingenwinning en zo nu een dan een gerichte DoS, maar wereldwijde terreur met onderliggend doel shaming van de NSA. Dat laatste is gelukt, er zijn stemmen opgegaan binnen de politiek in de VS om de NSA te verplichten lekken te melden. Dat had de NSA al gedaan na de lekken en daarom waren er patches sinds maart. De huidige situatie is dus niet te wijten aan de NSA, maar aan een gebrek op het installeren van patches. Dat komt onder andere door Microsoft, die al snel een zondebok zocht en de openlijk de NSA beschuldigde. Microsoft maakt het immers moeilijk Windows 7 te patchen en te scannen, kennelijk voor commerciele doelen: geld verdienen aan nieuwe licenties en verdienmodellen. De meeste slachtoffers waren Windows 7 gebruikers.
23-05-2017, 22:36 door Anoniem
Die link met Noord Korea kan ook net zo goed een 'verzonnen' link zijn door andere landen, of een geplaatste link door de hackers zelf. In de media is er ook genoeg getwijfeld over de Noord Koreaanse invloed bij de Sony hack. Bij de hack op de Bank waar zoveel geld buit gemaakt heeft is weer een link met de Sony-hackers. Dat schijnt echter maar één van de drie betrokken groepen te zijn geweest én niet de groep die er met het geld van door is.

http://www.businessinsider.com/north-korea-sony-hack-2016-6?international=true&r=US&IR=T
https://www.wired.com/2014/12/evidence-of-north-korea-hack-is-thin/
https://www.bloomberg.com/news/articles/2016-05-10/bangladesh-bank-heist-probe-said-to-find-three-groups-of-hackers
24-05-2017, 13:10 door Anoniem
Als ik het goed begrijp is WannaCry dus een joint effort tussen Kim Jong Un, en de Amerikaanse National Security Agency. Dat wil zeggen, als je er vanuit gaat dat je op basis van publiekelijk beschikbare code een schuldige aan kunt wijzen.....
24-05-2017, 13:19 door Anoniem
"Het was al vrij vroeg duidelijk dat er een link was met Noord Korea, maar bijna niemand had het daar over. Wat we nu bevestigd zien verandert het beeld van het landschap van staatscriminaliteit"

Leg uit, hoe zie je dit als bevestiging ? De code was immers publiekelijk bekend. Zie je dit soms ook als bevestiging dat de NSA achter WannaCry zit, gezien het hergebruik van NSA code ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.