Waarom cyberaanval die wereldwijd honderdduizenden computers platlegde wellicht het werk van Noord-Korea was

16 mei 2017

analyseEr zijn ernstige aanwijzingen dat het Noord-Koreaanse hackerscollectief Lazarus de verspreider is van de gijzelsoftware WannaCry die afgelopen weekend wereldwijd actief werd en honderdduizenden computers besmette. Als dat het geval is, wordt het een heel cynisch verhaal: het zou betekenen dat Noord-Korea z’n handen heeft kunnen leggen op bij de Amerikaanse inlichtingendiensten gestolen tools om dat te doen. Tools die de Amerikanen inzetten tegen “staatsvijanden” zoals Noord-Korea. Dit is dan ook het verhaal van hoe we het nog niet beseffen, maar wel degelijk in het midden van een cyberoorlog zitten.

Code die in een vroege versie van de gijzelsoftware WannaCry zat, wordt door beveilingsbedrijven zoals Symantec en Kaspersky dus in verband gebracht met de Lazarus-groep, een groep anonieme computercriminelen die (wellicht) vanuit Noord-Korea opereert. Er zijn ernstige aanwijzingen dat het Noord-Koreaans regime de drijvende kracht is achter Lazarus.

De Lazarus-groep zat onder meer achter de cyberaanval van 2014 op de studio's van Sony Pictures. De hackers, die volgens verschillende experts worden aangestuurd vanuit Noord-Korea, worden er ook van verdacht achter aanvallen tegen de centrale bank van Bangladesh (buit: 101 miljoen dollar) en andere internationale financiële spelers te hebben gezeten.

Een goed georganiseerde groep cybercriminelen die zichzelf Lazarus noemt en de hele wereld onveilig maakt: het lijkt het scenario van een superheldenfilm. Maar, zoals bijstaand filmpje van Kaspersky toont, we beseffen het misschien nog niet, maar blijkbaar leven we ondertussen in zo’n wereld. En jammer genoeg hebben we geen Iron Man, Captain America, X-men of zelfs James Bond om dat snel even op te lossen.

Virusfabriek

"De schaal van de operaties van Lazarus is schokkend", aldus de onderzoekers van Kaspersky. "De groep is zeer actief geweest sinds 2011. Lazarus is een virusfabriek die nieuwe stalen produceert via een grote hoeveelheid van onafhankelijke leveranciers."

Onderzoekers van Kaspersky hebben ondertussen de code van de WannaCry-ransomware gevonden, en ze ontdekte dat die quasi identiek is aan specifieke code van de Lazarus-groep. Het bedrijf kwam de overeenkomst op het spoor door een Google-onderzoeker.

Het onderzoek naar de code begon toen Google-onderzoeker Neel Mehta gisteren een tweet zonder verdere uitleg online zette en alleen de hashtag #WannaCryptAttribution gebruikte.

"Momenteel zijn er nog meer onderzoeken nodig naar oudere versies van WannaCry", zeggen ze bij Kaspersky. "We denken dat dat enkele mysteries zou kunnen oplossen die rond deze aanval hangen. Over één ding zijn we zeker: de ontdekking van Neel Mehta is op dit moment de meest significante aanwijzing rond de oorsprong van WannaCry."

Volgens Intezer Labs, een Israëlisch IT-beveiligingsbedrijf, zijn er nog andere aanwijzingen dat Noord-Korea verantwoordelijk is voor WannaCry, maar het bedrijf geeft daar nog geen verdere info over.

Het killswitch-mysterie

Het kan ook zijn dat de verspreiders van WannaCry de code die deze groep gebruikte, simpelweg hebben overgenomen, of de code opzettelijk in de ransomware is gebruikt om een vals spoor te creëren, maar zeggen ze bij Kaspersky, zo’n false flag-opzet zou heel onwaarschijnlijk zijn. Vooral omdat de code aanwezig was in een WannaCry-versie van februari en daarna werd verwijderd. Dan zouden er dus niet één maar twee valse sporen opgezet zijn.

Er is nog iets dat geloofwaardigheid biedt aan de Lazarus-connectie. In WannaCry 2.0 zat een killswitch, die per ongeluk werd ontdekt en waardoor het virus gestopt kon worden. Gewone cybercriminelen bouwen zoiets niet in volgens experts. Killswitches in malware zijn zeldzaam en tot nu toe bijna alleen gevonden in malware waar overheden of inlichtingendiensten achterzitten. Dat komt omdat overheden en inlichtingendiensten, in tegenstelling tot gewone cybercriminelen, bezorgd zijn om collateral damage. De ontdekker van de killswitch, MalwareTech, opperde dat de killswitch in WannaCry wellicht in de eerste plaats diende om analyse tegen te gaan en niet om de malware op afstand uit te kunnen schakelen.

Klote-software

Dat de website die de killswitch triggerde, niet geregistreerd was geraakt, is volgens cyberexperts een andere telltale-indicatie dat Noord-Korea erachter zou kunnen zitten. En dan is er nog iets raar: WannaCry was misschien effectief in het platleggen van honderdduizenden computers en alle apparaten die daar aanhangen, als ransomware was het echt klote-software.

Het belangrijkste doel van ransomware is om mensen te doen betalen. En je wil dan wel weten dat mensen betalen, zou je denken. Maar in WannaCry zat geen code zoals in andere ransomware die de slachtoffers een uniek bitcoinadres toewijst. Er zit maar één van vier hardcoded bitcoin addresses in, wat betekent dat voor inkomende betalingen er geen identificatiedetails zijn, die bijvoorbeeld nodig zijn voor de automatisering van het decryptieproces.

Om het simpel te stellen: de cybercriminelen zouden in dit geval 'met de hand' moeten gaan uitzoeken welke computer ze zouden moeten gaan decrypteren voor elke betaling die ze hadden ontvangen. En vervolgens zouden ze die computer dan 'manueel' een decryptiesleutel moeten sturen. Dat is 1) belachelijk want standaard ingebouwd in “gewone” ransomware 2) ondoenbaar als de scope van je aanval honderdduizenden computers beoogd.

Andere bedoelingen

Het lijkt dus redelijk logisch dat wie WannaCry ook losliet, daar wel degelijk andere bedoelingen bij had dan heel veel geld verdienen. Paniek, onrust en chaos zaaien bijvoorbeeld. Of eens iemand laten weten waar je toe in staat bent. Of, de NSA en bij uitbreiding de Amerikaanse en ander inlichtingendiensten en hun regeringen in een slecht daglicht te zetten.

Over dat laatste moet je dit beseffen: het gat in de beveiliging van Windows dat werd gebruikt om de ransomware computers te doen besmetten, werd ontdekt door de NSA. Die vertikte het om daar Microsoft van in te lichten, maar voegde het toe aan z’n toolbox waarmee het beveiligingsproblemen in software gebruikt om onder meer smartphones, pc’s en slimme televisies om te vormen tot afluisterapparaten. Maar ook om te gebruiken als cyberwapens tegen mogelijke staatsvijanden.

Vorige maand publiceerde Wikileaks duizenden documenten die de inhoud van die toolbox bevatten. Het zou kunnen dat de daders achter WannaCry het daar gevonden hebben of hebben gekocht van iemand die het daarin vond.

Shadow Brokers en cyber war

Maar wellicht gebeurde dat veel vroeger, zeggen experts, want WannaCry stond al in de steigers voor de Wikileaks-lekken. Ondertussen weten we dat in augustus vorig jaar een mysterieuze groep die zich de Shadow Brokers noemde, de NSA hackte en daar de cyberwapens van de Equation Group van de NSA stal.

De Shadow Brokers losten daarop “staaltjes” online en gooiden de cyberwapens meteen op de markt: “We auction best files to highest bidder. Auction files better than Stuxnet.” Stuxnet is het gesofisticeerde cyberwapen dat de Amerikanen en de Israëli’s gebruikten om Irans nucleaire programma te saboteren.

De Shadow Brokers vroegen toen 1 miljoen bitcoins voor de files, ongeveer 160 miljoen euro. In de files zat ook het lek in Windows dat nu werd gebruikt.

Of iemand dat betaalde? Niemand die het weet. Maar één ding is heel duidelijk geworden door WannaCry: cyberoorlogen zijn niks uit de toekomst, ze gebeuren nu. Overheden zijn bovendien cyberwapens aan het stockeren zoals ze dat doen met conventionele wapens en ze gebruiken die ook effectief. WannaCry is kunnen gebeuren omdat iemand iets gestolen heeft uit dat wapenmagazijn, een wapenmagazijn dat bovendien geheim werd gehouden.

Lees meer

Dit al gelezen?