image

Mogelijk verband tussen Sony-hackers en WannaCry

dinsdag 16 mei 2017, 06:12 door Redactie, 5 reacties

Er is mogelijk een verband tussen de hackers achter de destructieve hack van Sony en miljoenendiefstal bij de Centrale Bank van Bangladesh en de makers van de WannaCry-ransomware. De hackers achter de aanval op Sony en allerlei internationale banken worden de Lazarus Group genoemd.

In een malware-exemplaar van de Lazarus Group uit 2015 zijn overeenkomsten gevonden met een zeer vroege variant van de WannaCry-ransomware van begin 2017, zo meldt het Russische anti-virusbedrijf Kaspersky Lab. De Lazarus Group is sinds 2011 actief en wordt ook verdacht van aanvallen op Zuid-Koreaanse banken en televisiemaatschappijen, waarbij allerlei systemen werden gewist.

De code in kwestie werd in een WannaCry-versie van februari 2017 aangetroffen, maar was in nieuwere versies verwijderd. Kaspersky Lab houdt in theorie rekening met een "false flag", waarbij er opzettelijk verkeerde informatie wordt achtergelaten om onderzoekers op een dwaalspoor te brengen, maar noemt het in dit geval onwaarschijnlijk. Vooralsnog is er meer onderzoek naar oudere WannaCry-versies vereist, aldus de onderzoekers. Toch stelt Kaspersky Lab dat de versies van februari en mei door dezelfde personen in elkaar zijn gezet.

Reacties (5)
16-05-2017, 13:17 door Anoniem
De code kan natuurlijk ook gekopieerd zijn
17-05-2017, 08:38 door Anoniem
Door Anoniem: De code kan natuurlijk ook gekopieerd zijn

Zo makkelijk gaat dat niet. Je hebt executables uit min of meer dezelfde broncode en dezelfde compiler en switches nodig om dezelfde gedecompileerde assembler te produceren. Stukken machinecode worden zelden gekopieerd, behalve bij exploits.

Het kan algemeen bekende broncode zijn, en in dat geval is het mogelijk valse verbindingen te leggen, of het kan zelfgeschreven broncode zijn. In dat laatste geval is een verbinding sterk.

Hier hebben we mogelijk te maken met Noord-Koreanen. Een beetje ontregelen hier en daar pas waarschijnlijk wel in het straatje van Noord Korea.
17-05-2017, 15:51 door Anoniem
Door Anoniem:
Door Anoniem: De code kan natuurlijk ook gekopieerd zijn

Zo makkelijk gaat dat niet. Je hebt executables uit min of meer dezelfde broncode en dezelfde compiler en switches nodig om dezelfde gedecompileerde assembler te produceren. Stukken machinecode worden zelden gekopieerd, behalve bij exploits.

Het kan algemeen bekende broncode zijn, en in dat geval is het mogelijk valse verbindingen te leggen, of het kan zelfgeschreven broncode zijn. In dat laatste geval is een verbinding sterk.

Hier hebben we mogelijk te maken met Noord-Koreanen. Een beetje ontregelen hier en daar pas waarschijnlijk wel in het straatje van Noord Korea.

Ik zag op Tv een fragment van midnight commander en ze vergeleken toch echt de gecompileerde assembly opcode. Verder niet zo opgelet op details maar het leek om een function call te gaan die in beide stukken malware voorkwam.
17-05-2017, 22:28 door Anoniem
Als Pietje een wiel uitvindt, dan duurt het niet lang of Jantje vindt ook het wiel uit. Oftewel het NSA-lek is onafhankelijk van NSA ook door derden gevonden
18-05-2017, 00:35 door Anoniem
Door Anoniem:
Ik zag op Tv een fragment van midnight commander en ze vergeleken toch echt de gecompileerde assembly opcode. Verder niet zo opgelet op details maar het leek om een function call te gaan die in beide stukken malware voorkwam.

Kaspersky meld stukken identieke code:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/

Daar wordt encryptie deassembly code getoond.

TV is niet zo betrouwbaar, wat ze laten zien kan ook archiefmateriaal zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.