Noi informaţii arată că atacul cu WannaCry ar proveni din China

(Getty Images)

În urmă cu câteva săptămâni, în ceea ce a fost descris ca fiind unul dintre “cele mai puternice atacuri cibernetice de acest tip înregistrate vreodată”, atacul ransomware cu virusul WannaCry s-a răspândit pe cuprinsul globului într-un ritm alarmant, preluând controlul asupra unor reţele private şi cerând plăţi în moneda virtuală bitcoin pentru ca victimele să recapete controlul şi să deblocheze fişierele criptate.

Atacul, hiperventilat în mass media, a avut unele evoluţii destul de suspecte. A infectat computere de pe mai multe continente - şi din tot felul de medii - începând cu cele mai mici niveluri de securitate în universitîţi şi spitale - dar şi în cadrul ministerului de Interne al Rusiei, unde te-ai aştepta ca reţelele să fie securizate puternic şi că un asemenea virus nu va putea intra uşor.

Cu tot numărul mare de infecţii declarate în presă, WannaCry nu a reuţit să strângă decât o modică sumă de 70 de mii de USD - deşi estimarea specialiştilor era că hackerii vor putea strânge peste 1 miliard SUD. Cu alte cuvinte numai 200-300 de persoane victime au plătit răscumpărarea - cu mult mai puţin decât în cazul unui atac de intensitate moderată.

La scurt timp după atacul care a durat mai multe zile, Kaspersky Lab şi competiţia sa americană - Symantec - au ieşit cu declaraţii hazardate care afirmau că vinovaţii erau un grup numit Shadow Brokers, care ar fi avut legături cu Coreea de Nord. Afirmaţiile se bazau pe argumentul (deloc solid) că unele bucăţi din codul folosit pentru virus ar fi aparţinut grupului.

Acum, după cum a precizat marţi BBC, o nouă analiză a firmei de securitate Flashpoint sugerează că s-ar putea ca virusul WannaCry să fi fost generat în China, dealtfel cunoscută pentru celebrele laboratoare care produs unelte pentru spionajul cibernetic, aparţinând regimului comunist.

Cercetătorii de la Flashpoint au analizat limba folosită în mesajul pentru răscumpărare folosită de hackeri. Ei au constatat folosirea gramaticii şi a punctuaţiei corecte doar în versiunile chineze ale mesajului ar indica faptul că cel care a scris cererea este “nativ sau cel puţin fluent” în limba chineză.

Versiunile în alte limbi ale cererii de răscumpărare păreau, în cea mai mare parte, să fie traduse de programe.

Cererea de răscumpărare a atacului cu WannaCry poate fi citită în 28 de limbi diferite, doar numai versiunile în limbile chineză şi engleză păreau să fi fost scrise de persoane fizice.

De asemenea, textul în limba engleză a folosit unele expresii car enu sună bine precum: “ But you have not so enough time”.

Dar, cercetătorii de la Flashpoint au susţinut că cererea de răscumpărare în limba coreeană a fost de fapt o versiune prost tradusă a textului englez.

“Doar versiunile în limbile chineză şi engleză păreau să fi fost scrise de cineva care înţelegea ce făcea”, a declarat profesorul Alan Woodward, expert în securitate cibernetică la Universitatea din Surrey, Marea Britanie.

“Restul [traducerilor] păreau să fi fost realizate cu Google Translate. Chiar şi cererea în limba coreeană”, a precizat Woodward.

Virusul WannaCry a exploatat o bucată de cod a NSA, cunoscută sub numele de “Eternal Blue”, ce i-a permis să folosească o breşă în sistemul de operare Windows de la Microsoft şi să se răspândească în diverse reţele din jurul lumii.

La 24 de ore după apariţia sa, atacul cu WannaCry a fost numit primul atac cibernetic de tip ransomware, la nivel global şi coordonat, care a folosit programe de hacking dezvoltate de NSA. Atacul a paralizat sau afectat zeci de spitale pe cuprinsul Marii Britanii, tranzitul în masă pe cuprinsul Europei, uzine auto în Franţa şi Marea Britanie, universităţi în China, corporaţii în SUA, bănci în Rusia şi nenumărate alte companii şi elemente ale infrastructurii critice.

Un cercetător în securitate care postează mesaje pe Twitter şi pe bloguri sub numele de Malware Tech a declarat pentru The Intercept: “Nu am văzut niciodată până acum [un astfel de atac] de tipul ransomware” şi “ultimul vierme de acest nivel pe care mi-l amintesc este Conficker”. Conficker a fost un vierme cunoscut care afecta sistemul de operare Windows şi care a fost descoperit pentru prima dată în 2008. Virusul a infectat peste 9 milioane de calculatoare în aproape 200 de ţări.