WannaCry三周年,美国披露新型朝鲜恶意软件疑似掺水?

 

大家好,我是零日情报局。

WannaCry爆发三周年之际,美国政府一次性集中披露了三种新型朝鲜恶意软件家族,成了安全圈热议的话题。

殊不知,结合三年前WannaCry推动美国政府,2017年5月12日开始披露朝鲜恶意软件、黑客活动的特殊时间节点,这显然是一场有计划的“美式献礼”,甚至还可能掺了水。

 

话从何来?先从披露恶意软件事件本身来看。

首先,这是一次集齐国土安全部网络安全和基础设施安全局(DHS CISA)、联邦调查局(FBI)、国防部(DoD)以及网络司令部(USCYBERCOM)四大机构的联合行动,阵势十足自然少不了计划。

https://mmbiz.qpic.cn/mmbiz_png/ogxqTSgGMavm7YiaHdyuWiczQiaQGgWLwPAFGFicVSDcia7jMTs9sa5ypfshZuTr4iaHR93Iicxhb6uhSPp8sMtsEvH2A/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

(三种新型朝鲜恶意软件家族信息)

其次,从美国网络司令部VirusTotal帐户披露样本来看,远控木马COPPERHEDGE、恶意软件植入物TAINTEDSCRIBE和PEBBLEDASH虽是三种恶意软件家族,实际却涉及五个具体样本。

(美国网络司令部披露五个恶意软件样本)

大部分媒体都说是三种新型恶意软件,但从零日找到了资料来看,有一种并不能完全称之为新样本。因为从代码相似性比对数据来看,美国政府命名为COPPERHEDGE的远控木马,极可能是部分安全公司追踪的Manuscrypt恶意软件家族。

https://mmbiz.qpic.cn/mmbiz_png/ogxqTSgGMavm7YiaHdyuWiczQiaQGgWLwPAhRDILVCOOiaWyyd6FkRXgUp3z11ISzY3nPib9mrf9c2VXsFwTJBxhlFA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

(恶意软件样本归因分析数据)

从归因引擎比对恶意软件代码,COPPERHEDGE与Manuscrypt重合度高达100%,也证实了这一点。 美国政府的“新”,多少可能还是掺了点水。当然,你要说没准是官方(最终)名称不同,也不排除这种可能。

除了高相似性的COPPERHEDGE,TAINTEDSCRIBE和PEBBLEDASH两个样本的识别率也比较高。从VirusTotal测试71个防病毒引擎,超过35个有效识别的数据来看,安全威胁尚在可控范围。 至于美国政府为什么能在这个时间节点披露一波朝鲜恶意软件,可能就不单是有计划,还是下了血本的。留意4月新闻,应该对美国政府500万美元重金悬赏朝鲜非法网络活动消息,有些印象。

https://mmbiz.qpic.cn/mmbiz_png/ogxqTSgGMavm7YiaHdyuWiczQiaQGgWLwPAq1w29icla98LCufntosYGYJSibqrOEqmwu14B5RyXT6XlrkcKsgJWHlQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/ogxqTSgGMavm7YiaHdyuWiczQiaQGgWLwPAbHvcdT8bdRwOf6dgibvv6ribljbZ7oFOFkhsylZ1oNrI2LvGXYh1HQsg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

当时,也是美国国务院、财政部、国土安全部和司法部四大机构联合发布公告。公告中,先是洋洋洒洒地大篇幅介绍了朝鲜背景黑客的全球威胁性,紧接着就说出500万美元,公开悬赏朝鲜网络空间非法活动信息,不管是已发生的还是正在实施,只要提供可用信息就能拿到赏金。

(悬赏网站)

4月不计成本的广撒大网,也就有了5月的收获。不能说悬赏的百分百效应,但美国政府能顺利在WannaCry三周年之际,一次性披露5个恶意软件样本,必然和悬赏有关系。

有些人会好奇,为什么三年时间,美国政府在WannaCry这件事上依然揪着朝鲜不放,除去政治矛盾,最大的原因就是当初WannaCry利用NSA武器库漏洞横扫全球时,狠狠跌了某人的面子。

当然,不管背后纠葛如何,美国公布新型恶意软件样本,都是一件好事。最后,对WannaCry三周年,美国披露新型朝鲜恶意软件,你怎么看?

参考资料:

[1] ZDNet《WannaCry三周年之际,美国披露了新的朝鲜恶意软件》

(完)