Mogelijk verband tussen Sony-hackers en WannaCry
Er is mogelijk een verband tussen de hackers achter de destructieve hack van Sony en miljoenendiefstal bij de Centrale Bank van Bangladesh en de makers van de WannaCry-ransomware. De hackers achter de aanval op Sony en allerlei internationale banken worden de Lazarus Group genoemd.
In een malware-exemplaar van de Lazarus Group uit 2015 zijn overeenkomsten gevonden met een zeer vroege variant van de WannaCry-ransomware van begin 2017, zo meldt het Russische anti-virusbedrijf Kaspersky Lab. De Lazarus Group is sinds 2011 actief en wordt ook verdacht van aanvallen op Zuid-Koreaanse banken en televisiemaatschappijen, waarbij allerlei systemen werden gewist.
De code in kwestie werd in een WannaCry-versie van februari 2017 aangetroffen, maar was in nieuwere versies verwijderd. Kaspersky Lab houdt in theorie rekening met een "false flag", waarbij er opzettelijk verkeerde informatie wordt achtergelaten om onderzoekers op een dwaalspoor te brengen, maar noemt het in dit geval onwaarschijnlijk. Vooralsnog is er meer onderzoek naar oudere WannaCry-versies vereist, aldus de onderzoekers. Toch stelt Kaspersky Lab dat de versies van februari en mei door dezelfde personen in elkaar zijn gezet.
Zo makkelijk gaat dat niet. Je hebt executables uit min of meer dezelfde broncode en dezelfde compiler en switches nodig om dezelfde gedecompileerde assembler te produceren. Stukken machinecode worden zelden gekopieerd, behalve bij exploits.
Het kan algemeen bekende broncode zijn, en in dat geval is het mogelijk valse verbindingen te leggen, of het kan zelfgeschreven broncode zijn. In dat laatste geval is een verbinding sterk.
Hier hebben we mogelijk te maken met Noord-Koreanen. Een beetje ontregelen hier en daar pas waarschijnlijk wel in het straatje van Noord Korea.
Zo makkelijk gaat dat niet. Je hebt executables uit min of meer dezelfde broncode en dezelfde compiler en switches nodig om dezelfde gedecompileerde assembler te produceren. Stukken machinecode worden zelden gekopieerd, behalve bij exploits.
Het kan algemeen bekende broncode zijn, en in dat geval is het mogelijk valse verbindingen te leggen, of het kan zelfgeschreven broncode zijn. In dat laatste geval is een verbinding sterk.
Hier hebben we mogelijk te maken met Noord-Koreanen. Een beetje ontregelen hier en daar pas waarschijnlijk wel in het straatje van Noord Korea.
Ik zag op Tv een fragment van midnight commander en ze vergeleken toch echt de gecompileerde assembly opcode. Verder niet zo opgelet op details maar het leek om een function call te gaan die in beide stukken malware voorkwam.
Ik zag op Tv een fragment van midnight commander en ze vergeleken toch echt de gecompileerde assembly opcode. Verder niet zo opgelet op details maar het leek om een function call te gaan die in beide stukken malware voorkwam.
Kaspersky meld stukken identieke code:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
Daar wordt encryptie deassembly code getoond.
TV is niet zo betrouwbaar, wat ze laten zien kan ook archiefmateriaal zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
