개요
- 구글은 `17년 2월에 처음 등장한 워너크라이 랜섬웨어에서 발견된 코드가 `15년 초에 사용된 Cantopee (+북한 연계 해킹그룹인 라자루스가 개발한 악성 백도어)와 동일하다는 것을 발견
※ 워너크라이 랜섬웨어 : MS社 윈도우즈 운영체제의 SMB(Server Message Block : 파일·장치를 공유하기 위해 사용하는 통신 프로토콜) 취약점을 악용한 워너크라이 랜섬웨어가 `17.5.12일부터 전세계 150개국의 최소 30만대 컴퓨터를 감염
주요내용
- 해외 보안기업들(Kaspersky Lab 및 Symantec, Intezer, Comae Technologies)은 즉시 구글의 방법을 따라가면서 워너크라이 랜섬웨어와 라자루스 및 조아냅, 브램블 등 다른 악성코드 군들과 강력한 연관성을 확인함. 워너크라이는 상기한 코드들과 동일한 저자가 작성하거나 수정한 것으로 나타남
- `11년 이래로 운영중인 라자루스 해킹그룹은 `13년 다크서울 작전 및 `14년 소니 픽처스 해킹, `16년 방글라데시 중앙은행 해킹을 주도했던 세력으로 지적되고 있음
- 그러나 워너크라이 작성자가 분석가들과 기관들의 조사를 호도하기 위하여 라자루스의 백도어 프로그램에서 고의로 코드를 복사했을 가능성이 있기 때문에 라자루스 해킹그룹과 워너크라이 연계성을 확정하기에는 현재까지 발견이 충분하지 않음
- 최근 수년간 라자루스를 추적해온 시만텍은 워너크라이와 라자루스 해킹과 유사성을 발견했으나, 연관성이 약하다고 언급하며 강력한 연관성을 파악하기 위해 지속조사를 시사
[출처]
1. The Hacker News, “Google Researcher Finds Link Between WannaCry Attacks and North Korea”, 2017.05.15.
2. Associated Press, “EXPERTS SEE POSSIBLE NORTH KOREA LINKS TO GLOBAL CYBERATTACK”, 2017.05.16
