Még mindig rejtély övezi a pénteken indult gigászi kibertámadás-sorozat felelőseinek kilétét, eleinte az oroszokat vádolták a támadáshullámmal. Vlagyimir Putyin orosz elnök hétfőn leszögezte, hogy a támadások mögött nem Oroszország áll, és a helyzet szerinte is aggodalomra ad okot. Számos orosz intézmény is nagy károkat szenvedett el.
Két nagy kiberbiztonsági cég, a Kaspersky és a Symantec is talált arra utaló jeleket a napokban, hogy a WannaCry egy korábbi verziója sok hasonlóságot mutat egy olyan kóddal, amit 2015-ben használt az Észak-Koreához köthető Lazarus Group nevű állami hekkercsoport. Ők feleltek korábban a Sony Picturest ért támadásért, és a bangladeshi bank számos ügyfelét is kifosztották.
A kód ugyan azóta változott, de a biztonsági szakemberek szerint felmerül annak lehetősége, hogy
A WannaCry korai verziójában talált gyanús részletre először a Google kutatója, Neel Mehta figyelt fel hétfőn. A többi szakember vizsgálata is megerősítette azt a sejtést, hogy egy olyan egyedi funkciót tartalmaz, ami az észak-koreaiak által használt Contopee nevű hátsóajtóban is szerepel.
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta – Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matthieu Suiche (@msuiche) May 15, 2017
Ez semmit sem bizonyít semmit egyértelműen, a megosztott kódot másik csoport is hasznosíthatta, vagy másolhatott át belőle részeket. Sok esetben pedig szándékosan használnak hasonló kódokat a kiberbűnözők, hogy összezavarják a kilétük után kutató szakembereket.
A Kaspersky Lab biztonsági cég szerint állami hackerekre utal az is, hogy a WannaCry eredeti és módosított változataiba is beépítették azt a kapcsoló funkciót, amivel hatástalanítható a zsaroló.
Ilyen szintű kifinomultság nem általános jelenség a kiberbűnözők világában. Ez szigorú szerveződést igényel, és a művelet minden szintjét tudatosan kell irányítani.”
A Kaspersky vizsgálata során úgy találta, több támadást is észak-koreai IP-címekről indítottak. A kutatók még azt is gyanúsnak találják, hogy a követelt váltságdíj rendkívül alacsony, mindössze 300 dollárnak megfelelő bitcoin, így vélhetően nem a haszonszerzés lehetett a támadások fő mozgatórugója.
A szakembereknek még sokkal több idő kell ahhoz, hogy felkutassák a WannaCry eredetét, már amennyiben az lehetséges, a Kaspersky Lab szerint a kutatóknak világszerte együtt kell dolgozniuk a problémán.