Symantec mengatakan 'sangat mungkin' kelompok Korea Utara di balik serangan Ransomware

Perusahaan keamanan Cyber ​​Symantec Corp ( SYMC.O ) mengatakan pada hari Senin bahwa "sangat mungkin" sebuah kelompok hacking yang berafiliasi dengan Korea Utara berada di balik serangan cyber WannaCry bulan ini yang menginfeksi lebih dari 300.000 komputer di seluruh dunia dan mengganggu rumah sakit, bank dan sekolah di seluruh wilayah Dunia.

Periset Symantec mengatakan bahwa mereka telah menemukan banyak contoh kode yang telah digunakan baik dalam kegiatan sebelumnya dari kelompok Korea Utara dan pada versi awal WannaCry.

Selain itu, koneksi internet yang sama digunakan untuk menginstal versi awal WannaCry pada dua komputer dan untuk berkomunikasi dengan alat yang menghancurkan file di Sony Pictures Entertainment. Pemerintah AS dan perusahaan swasta telah menuduh Korea Utara dalam serangan Sony 2014.

Korea Utara secara rutin menolak peran tersebut. Pada hari Senin, ia menyebut laporan sebelumnya bahwa hal itu mungkin terjadi di balik serangan WannaCry "sebuah kampanye kotor yang kotor dan tercela."

Lazarus adalah nama banyak perusahaan keamanan yang telah diberikan kepada kelompok hacking di balik serangan Sony dan lainnya. Dengan kebiasaan, Symantec tidak mengaitkan kampanye cyber secara langsung dengan pemerintah, namun para perisetnya tidak membantah kepercayaan umum bahwa Lazarus bekerja untuk Korea Utara.

Dalam sebuah posting blog, Symantec mendaftarkan banyak tautan antara Lazarus dan perangkat lunak yang ditinggalkan kelompok tersebut setelah meluncurkan versi malware yang lebih awal dan kurang ganas pada bulan Februari. Salah satunya adalah varian perangkat lunak yang digunakan untuk menghapus disk selama serangan Sony Pictures, sementara alat lain menggunakan alamat internet yang sama dengan dua perangkat lunak jahat lainnya yang terkait dengan Lazarus.

Pada saat yang sama, kekurangan dalam kode WannaCry, penyebarannya yang luas, dan tuntutannya untuk pembayaran di bitcoin elektronik sebelum file didekripsi menunjukkan bahwa para peretas tidak bekerja untuk tujuan pemerintah Korea Utara dalam hal ini, kata Vikram Thakur, keamanan Symantec Direktur teknis respon "Keyakinan kami sangat tinggi sehingga ini adalah karya orang-orang yang terkait dengan Grup Lazarus, karena mereka harus memiliki akses kode sumber," kata Thakur dalam sebuah wawancara.

Tapi dia menambahkan: "Kami tidak berpikir bahwa ini adalah operasi yang dijalankan oleh negara-bangsa."

Dengan WannaCry, Thakur mengatakan, anggota Kelompok Lazarus bisa saja memberi penerangan untuk menghasilkan uang tambahan, atau mereka bisa meninggalkan dinas pemerintah, atau mereka bisa saja menjadi kontraktor tanpa kewajiban langsung untuk hanya melayani pemerintah.

Versi paling efektif WannaCry menyebar dengan menggunakan cacat pada Windows Microsoft dan sebuah program yang memanfaatkannya yang telah digunakan oleh Badan Keamanan Nasional AS, kata pejabat swasta.

Program itu termasuk di antara batch yang bocor atau dicuri dan kemudian dibuang secara online oleh sebuah kelompok yang menamakan dirinya The Shadow Brokers, yang beberapa di intelijen AS percaya untuk berafiliasi dengan Rusia.

Analis telah mempertimbangkan berbagai teori tentang identitas orang-orang di balik WannaCry, dan beberapa bukti awal menunjukkan kepada Korea Utara. The Shadow Broker mendukung teori tersebut, mungkin untuk menghilangkan panas dari pendukung pemerintah mereka sendiri atas bencana tersebut.

Perusahaan Cybersecurity Kaspersky telah mengatakan telah menemukan beberapa kesamaan antara malware WannaCry dari serangan sebelumnya dan yang digunakan oleh Lazarus. Namun dalam sebuah wawancara minggu lalu, direktur riset Asia-nya, Vitaly Kamluk, mengatakan bahwa ini bukanlah bukti yang meyakinkan. "Tidak biasa," katanya.

Beau Woods, wakil direktur Inisiatif Cyber ​​Statecraft di Dewan Atlantik, mengatakan bahwa bahasa Korea yang digunakan dalam beberapa versi catatan uang tebusan WannaCry bukan berasal dari penutur asli, membuat koneksi Lazarus tidak mungkin terjadi.

Tapi Thakur mengatakan bahwa beberapa hacker sengaja mengaburkan bahasa mereka untuk membuat penelusuran mereka lebih sulit. Mungkin juga penulis yang dimaksud adalah kontraktor di negara lain, katanya.

Thakur mengatakan skenario yang kurang mungkin adalah bahwa tujuan utama Lazarus adalah menciptakan kekacauan dengan mendistribusikan WannaCry.

Jika tujuan utama para hacker adalah menghasilkan uang di samping, itu akan menyarankan operasi hacking yang tidak disiplin yang dijalankan oleh Korea Utara, yang bisa dieksploitasi dan dilemahkan oleh banyak musuh di negara tersebut.

"Komunitas intelijen mungkin akan mengambil dari sini bahwa ada kemungkinan serpihan di Grup Lazarus, atau anggota yang tertarik untuk mengisi kantong mereka sendiri, dan itu bisa membantu," kata Thakur.

Lazarus juga telah dikaitkan dengan serangan terhadap bank yang menggunakan jaringan perpesanan SWIFT mereka. Tahun lalu, hacker mencuri $ 81 juta dari bank sentral Bangladesh. Symantec mengatakan malware yang digunakan dalam serangan itu terkait dengan Lazarus.

(Dilaporkan oleh Joseph Menn, Dustin Volz, Jeremy Wagstaff dan Taman Ju-Min; Editing oleh Chris Reese, Mary Milliken dan Raju Gopalakrishnan)