Come possono essere determinati gli autori di malware? [duplicare]

Naviga le tue risposte
4

La mia domanda è:

In che modo possiamo trarre conclusioni sugli autori di malware, quando qualcuno potrebbe semplicemente ottenere malware di esempio online, copiare incollare le parti che preferiscono e aggiungere le proprie parti?

Ovviamente ci sono molti tipi di malware che questa domanda potrebbe applicare, ma userò WannaCry come esempio. Il sospetto si basava su molte tecniche e parti logiche utilizzate nei file dannosi perché alcuni erano identici al malware utilizzato dai gruppi nordcoreani in precedenza.

Ma durante questo video il giornalista ha persino dice che questo potrebbe essere uno stratagemma da parte di qualche altro attore dello stato nazione. Sembra che ogni ipotesi riguardante gli autori di malware sia fatta solo per ragioni politiche, dal momento che nessuno può garantire che questa particolare composizione di dati binari sia collegata a un particolare gruppo.

Mi chiedo se alcune linee di assemblaggio di corrispondenza (vedi video) siano abbastanza giustificate da rilasciare titoli come questo, facendo in modo che il pubblico si mostri sulla recinzione di Cyber War One, quando potrebbe essere letteralmente un 20 qualcosa di vecchio di un anno che aveva accesso a qualsiasi possibile cartella spam?

Modifica

Sono consapevole del fatto che a volte alcuni artefatti nel codice possono aiutare a capire chi potrebbe averlo scritto, ma nel video sembra che stiano collegando un governo a un attacco informatico su scala mondiale basato su istruzioni di assemblaggio. Questo sembra diverso dal lasciare accidentalmente l'indirizzo dell'autore nelle informazioni whois, o dimenticare di eliminare le credenziali codificate.

    
posta PositriesElectron 06.06.2017 - 20:27
fonte

1 risposta

7

Il reporting mainstream dei media non è il posto dove andare per questo tipo di cose. Se cerchi il rapporto di Symantec, otterrai molti più dettagli. Sostengono che WannaCry è probabilmente creato da un gruppo chiamato Lazarus Group, e in particolare sostiene che questo non malware si adatta allo schema che ci si potrebbe aspettare da uno sforzo di uno stato nazionale.

link

In particolare, dicono:

  1. Il comando e l'amplificazione in rete l'infrastruttura di controllo tra questo attacco e un altro attacco di Lazarus è simile, utilizzando alcuni degli stessi indirizzi IP.

  2. I software gestiscono i buffer di rete e le comunicazioni di rete in modo identico, in particolare utilizzano alcuni degli stessi valori costanti.

  3. I software hanno un grande set di stringhe ripetute nel binario.

  4. I software generano i numeri di crittografia allo stesso modo.

  5. I software hanno almeno una funzione condivisa tra di loro.

Ciò significa che questi due software condividono alcune connessioni. O lo stesso gruppo è responsabile della loro scrittura, oppure sono scritti da due gruppi che condividono il codice e le infrastrutture di rete, oppure potrebbe essere il caso che qualcuno si sia adoperato per far sembrare che ci sia un'aura comune quando non c'è. Non è praticamente possibile che non esista alcuna relazione e che tutto quanto sopra sia solo una possibilità casuale totale.

Alcuni hanno tentato di affermare che il gruppo di Lazarus è un gruppo di stato-nazione nordcoreano, ma non ci sono prove per sostenerlo. Alcuni dei loro primi attacchi erano contro il governo sudcoreano e la Sony, ma questo è piuttosto circostanziato. Hanno attaccato anche obiettivi non sudcoreani e non giapponesi.

    
risposta data 06.06.2017 - 21:25
fonte

Leggi altre domande sui tag

Il client TOR Orbot Android è stato compromesso (autorizzazioni per ID dispositivo e informazioni sul chiamante)? Come mai gli exploit di iOS / i jailbreak valgono così tanto nel "commercio a 0 giorni"?