資安研究人員針對在12日展開全球性攻擊的勒索病毒調查新線索顯示，被稱為「WannaCry」病毒的早期版本部分程式碼與被認為是北韓駭客集團的「Lazarus Group」過往的攻擊相似，顯示這波在全球擁有逾20萬名受害者的病毒犯罪可能與北韓有所關聯。

在Google資安研究員梅塔（Neel Mehta）發現程式碼上的相似性後，美國網路安全公司賽門鐵克（Symantec）與俄國安全公司卡巴斯基（Kaspersky）15日都指出，「WannaCry」早期版本中使用的程式碼與2014年索尼影視娛樂（SPE）、及2016年孟加拉央行遭到的攻擊相似。這樣的特徵過去也只在北韓駭客攻擊中見過。

Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5

— Matthieu Suiche (@msuiche) 15 May 2017

卡巴斯基表示，梅塔的發現是目前關於「WannaCry」源頭最關鍵的一項線索。但也強調，還需要更多證據才能達成更可靠的結論。

被認為在中國活動、但為北韓服務的「Lazarus Group」過去也曾以比特幣作為目標。根據比特幣活動分析，這波攻擊大概只為幕後犯罪者賺進了6萬美元（約新台幣181萬元）。考量到受害者超過20萬人，這算是相當低的報酬率。

Symantec’s Security Response Team has you covered for all things #WannaCry. Find real-time updates here: https://t.co/5CqKkG9KUj #ransomware pic.twitter.com/C5KdeqFhZe

— Symantec (@symantec) 15 May 2017

網路攻擊難以確知主謀

這項線索還不足以蓋棺論定此次攻擊便是由北韓所發起。網路駭客們時常借用或改寫其他攻擊者的工具，或者這也可能是刻意植入的「偽旗」（false flags）。雖然在較晚的版本中，與「Lazarus Group」相似的程式碼已被移除。

英國薩里大學（University of Surrey）電腦科學教授伍德沃德（Alan Woodward）指出，「WannaCry」原始時區設在東九區（UTC+9），且要求贖金的英文敘述讀來像經過翻譯，中文版本則像是母語使用者撰寫的。伍德沃德表示，雖然這些都不是相當強烈的證據，但值得深入調查。

由賽門鐵克提供的勒索病毒求贖頁面。（湯森路透）

也有一些並不支持這項控訴的資訊。例如中國是這波攻勢中的嚴重受害者，但北韓應不會想要顯著地對抗鄰近的盟友；雖然也有「Lazarus Group」不受北韓指示行動的可能性。另外，北韓過去的的網絡攻擊通常有著很高的針對性，且常有政治動機。這次的勒索攻擊則廣泛得多。

微軟抨擊美國NSA掌握弱點卻不通報

這次勒索病毒攻擊者獲益於美國國家安全局（NSA）發現但未通報的微軟弱點。微軟總裁史密斯（Brad Smith）在14日發布的貼文中承認微軟對此有所責任，但也抨擊政府蒐集系統弱點的作法有其風險，尤其它們可能遭竊、造成更廣大的傷害。

We need collective action to apply the lessons from last week’s cyberattack. And we need it now. https://t.co/pAVBV0VOpD

— Brad Smith (@BradSmi) 14 May 2017

美方則表示這波攻擊的工具有著許多源頭，堅持這應歸咎於利用了弱點進行攻擊者，微軟公司與未更新的使用者也有責任。白宮國土安全顧問博塞特（Tom Bossert）15日表示，這並不是由NSA研發出的勒索病毒，「該弱點的來源對我來說並不是相當重要。」
 

【熱門影片推薦】

●漢光預演〉兩棲登陸「泊地攻擊」 雷霆2000多管火箭齊發

●葉金川：年改所有版本都在吃年輕人的錢

●「跨越左右」 馬卡洪任命保守派市長出任總理