侦探与罪犯的这一套逻辑,在黑客的世界同样适用。对网络安全稍有常识的人都知道,仅根据单一的线索,比如黑客袭击的来源地来判断黑客所在地,是完全不靠谱的 —— 稍有经验的黑客攻击者都能扰乱线索,藏匿身份并嫁祸于人。因此定位黑客和侦察案件一样,是一场技术和谋略的较量。
前不久雷锋网(公众号:雷锋网)报道了一则《3/4 的勒索软件都是“说俄语的人”做的!》的新闻,其中外媒softpedia 表示,75%的勒索软件都是由说俄语的网络罪犯搞出来的。
当时卡巴斯基实验室的分析员表示,他们发现的 62 个加密勒索软件家族中,47 个由俄罗斯人或说俄语的人开发。他们无法解释为什么那么多勒索软件族谱都有“俄罗斯血统”,猜测可能是因为俄罗斯及周边国家熟悉代码编写的人比较多。
然而近日英国的一家威胁研究机构BAE 系统公司最近发布了一篇博文让人大跌眼镜:“有人蓄意将恶意软件翻译成俄罗斯语,以嫁祸俄罗斯人! ”。
情节反转,俄罗斯遭蓄意嫁祸?
据雷锋网宅客频道了解,事情是这样的:BAE Systems公司的研究人员最近得到了几份针对全球31个国家的104家金融机构发起攻击的恶意软件样本。他们发现,虽然里面有许多俄文,但是许多语句看起来狗屁不通,许多单词都牛头不对马嘴,看起来像是有人故意用翻译软件将语言翻译成俄文的。
举个例子,在恶意软件样本中有一个这样的词:“kliyent2podklyuchit” ,分析人员用逆向工程翻译成英文就是:“client2connect" (客户端连接)。眼尖的分析人员一下就看出端倪,真正的俄罗斯本地人绝不会用“kliyent”这样的单词!在实际当中,说俄语的人通常会使用“client" 或者”Klient",但绝不会用蹩脚的“kliyent"。
经过分析他发现,很可能是嫁祸者在使用在线翻译工具,将软件语言翻译成俄文时,犯了一个错误,他把俄文底下的发音误认为是单词了。
这就好比嫁祸者把“client”翻译成中文“ kehu (客户)”,然后想当然地认为中国的开发者会用 “ kehu ”来表示客户端一样,实际上我们的开发者并不会这么去做。
分析人员发现,类似的错误比比皆是,由此可以断定,有人故意使用俄罗斯语言以嫁祸他人或者混淆视听。
矛头直指一知名黑客组织
分析人员表示,通过对此次恶意软件样本进行分析,已有一定技术性证据表明该次攻击活动和一个叫做“ Lazarus Group”的黑客组织有关。
Lazarus Group 是谁?
据雷锋网了解,该组织至少自2009年就开始活动,且多年来一直在对韩国及美国的各政府机构及私人组织发动各类攻击。
2014年索尼电影娱乐公司遭遇攻击,导致大量敏感数据外泄。FBI 及其它美国情报部门当时将这一袭击活动归咎于朝鲜政府。(因为当时索尼娱乐公司当时正准备上映一部叫《刺杀金正恩》的电影,疑被报复),其后人们发现那起攻击和 Lazarus Group有关。
2016年, Lazarus Group 发动了一次攻击,洗劫了孟加拉中央银行 8100万美元。在那次攻击活动中,黑客利用恶意软件操纵银行使用的计算机设备,试图转移的资金总额高达9亿5100万美元,但其中一部分被发现后由银行方面进行了恢复,因此搞到了 8100万美元 。有趣的是,据国际新闻报道,当时黑客攻击被发现,也是因为“黑客拼错一个英文单词”。
前不久发生的一起针对波兰多家银行的恶意软件攻击事件,也极有可能是 Lazarus Group 利用波兰金融监管局网站中存在的漏洞完成的。
卡巴斯基的安全研究员曾对该组织进行过追踪,当时他们对该团伙的活动时间、休息吃饭时间、睡觉时间等进行了分析,表明该团伙的多数人应生活在东八区(GMT+8)或东九区(GMT+9),而且从当时从Lazarus的样本集来看,几乎有2/3的网络犯罪可执行文件都包含了典型韩语用户的元素。
并且,团伙成员属于极端型的工作狂,每日工作时间长达15-16个小时。Lazarus 俨然是业内多年来所知的“最勤劳”的团伙了。
【 Lazarus 团伙作息规律】
“东八区或东九区”、“韩语元素”、"最勤奋的黑客”、“攻击韩国和美国”,看到这里,雷锋网编辑心理一惊,矛头难道又要从俄罗斯黑客转移到了朝鲜人身上。
不过,谁又能保证,这不是另一起更高明的嫁祸行为呢?黑客嫁祸这种事已经不是一次两次发生了,2009年google等几十家美国公司受到黑客的攻击后,《纽约时报》就在没有充分证据的情况下,就称该攻击和中国的蓝翔技校有关,之后也不了了之。