勒索病毒幕后黑手指向朝鲜，微软怒批美政府囤积漏洞做武器

据路透社、金融时报等多家外媒报道，肆虐全球的电脑勒索病毒 WannaCry 可能与朝鲜有关。谷歌、赛门铁克（Symantec）和卡巴斯基实验室（Kaspersky Lab）等多个机构经过研究后发现，恶意程序代码中的线索将幕后黑手的身份指向了朝鲜。

与此同时，微软在其官网发布了一则公告，公开指责美国政府情报机构发现安全漏洞后不是通知厂商修复，而是积累起来用于日后的网络情报工具。

甩锅给朝鲜，就因为他们中招的电脑少？

谷歌安全研究人员尼奥·梅塔（Neel Mehta）在其社交媒体上表示，此次肆虐全球的 WannaCry 勒索病毒和之前国际神秘黑客组织“拉撒路”（Lazarus Group）使用的恶意软件脚本非常一致，而该组织此前就被多家安全机构认定来自朝鲜。

▲此前传闻的朝鲜黑客，图片来自网络

据了解，拉撒路组织曾涉及2014年索尼影业遭攻击事件以及史上规模最大的银行黑客盗窃案——孟加拉国中央银行失窃8100万美元案件。

网络安全公司 Proofpoint 和卡巴斯基实验室将 尼奥·梅塔 提供的样本进行分析后也发现，WannaCry 中的一部分代码和拉撒路组织用的恶意软件代码几乎一模一样 —— 两者使用了相同的随机数生成 0 到75之间的随机数，用于对劫持数据的加密以及通过混淆，避免安全工具的检测。

早前几天，WannaCry 勒索病毒波及全球150个国家，感染超过30万台电脑时，就有人在感染地图上发现，朝鲜是少有的，完全没有监测到“中招”的国家。因此也怀疑朝鲜与幕后黑手有关，因为这过于巧合。

▲感染地图，图片来自网络

也可能是“红星”操作系统救了朝鲜

不过，威胁情报平台微步在线的安全专家秋石表示：

根据目前的线索，并不能下定论说黑客就来自于朝鲜，完全有可能是误判。

许多黑客工具在网上是公开的，或者在存在售卖的情况，同样的代码片段和技巧可能会被不同的病毒编写者采用。只根据一个角度的证据就轻易下结论是不可取的。

只能说，从目前全球各国安全研究者的分析来看，Lazarus团伙嫌疑相对较大。
卡巴斯基方面目前也表示需要进一步的研究才能下定论。

有人认为，朝鲜没有中招的原因有很多，比如朝鲜有自己内部开发的操作系统，这款操作系统名为 Red Star OS，而此次勒索者利用的是 Windows 系统的“永恒之蓝”漏洞。如果朝鲜人民都不怎么用 Windows 系统，自然就可以解释他们为什么没有中招。况且，仅凭没有“中招”就怀疑其为幕后黑手，实在没什么依据。

▲朝鲜自主研发红星系统

微软血泪控诉美国政府“囤漏洞”行为

微软总裁布拉德·史密斯（Brad Smith）周日在博客中表示：“此次攻击再次表明，为何政府部门私藏漏洞信息会是个问题。”

微软在公告中表示：

“我们看见，维基解密上出现了美国中央情报局（CIA）保存的漏洞，而目前来自美国国家安全局（NSA）的这一漏洞影响了全球的用户。已有多起事件表明，政府部门掌握的漏洞信息会流向公众，进而造成广泛的破坏。

政府和世界应该将此次攻击当做警钟，他们应该采取不同的措施，在网络世界，也坚守和物理世界一样适用于武器的准则。政府在将漏洞囤积并利用其做工具时，应该意识到这一举动给平民带来的灾难，这也是我们在今年二月呼吁应有新‘数字世界日内瓦公约’来管束这些事件的原因之一，包括政府应该向供应商报告脆弱性，而不是囤积、售卖或利用漏洞。

我们应该重新审视最近这起攻击中的各项决定，更迫切地采取行动，我们需要技术部门、消费者、政府部门一起协作，抵御网络攻击。”

这次的“永恒之蓝（Eternal Blue）”勒索蠕虫，正是利用了去年被盗的NSA自主设计的Windows系统黑客工具Eternal Blue，把今年2月的一款勒索病毒升级。一个月前，第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布，包含了涉及多个 Windows 系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

漏洞被盗，等同于战斧导弹被盗

今年3月，维基解密称已取得美国中央情报局（CIA）用来入侵电话、通讯app和其他电子装置的高度机密黑客文件，还称CIA与其他美国及外国机构联手，能规避多种APP的加密程序。

微软和苹果等公司纷纷反对美国相关机构的此类监控行为，苹果此前还曾拒绝协助FBI解锁枪击案嫌疑犯iPhone。

史密斯在声明中称，前有CIA入侵手机，现在又是美国国家安全局间接催生了这一次全球规模的病毒感染，再次证明政府累积的安保风险“问题很大”。“政府的这些行为反复流入公共领域，造成广泛的破坏”， 史密斯甚至称，这一事态的严重性相当于美国的战斧导弹(Tomahawk)被盗。

华尔街日报指出，这一声明是技术领域对政府“最强烈的投诉”。 史密斯斥责称，周五的病毒袭击再次体现“美国国家安全局和有组织犯罪行为之间，无意但令人不安的联系”。

白宫曾经制定过一种机构间的合作程序——“漏洞公平裁决程序”（Vulnerabilities Equities Process），用来审查技术安全瑕疵，并决定哪些安保漏洞应被公开。去年4月，FBI曾据此告知苹果公司产品中存在安全漏洞。

史密斯还在博文回击了对一些网络言论对微软系统的指控，早在今年3月14日，微软就发布了相关补丁，但是很多用户尚未来得及打补丁。史密斯同时表示，微软正在“争分夺秒地”协助受影响的客户，甚至为已经停止技术支持的老版本操作系统提供支持。

在此次全球大规模的勒索蠕虫攻击爆发后，微软在5月13日决定对已经停止支持的 Windows XP 、Windows 2003 等发布特别补丁。

NSA泄密者爱德华•斯诺登(Edward Snowden)称，微软方面的这些话“非同寻常”。斯诺登因泄露了成千上万份机密文件而被美国通缉。

他在Twitter上发帖称：“直到周末的攻击发生前，微软一直拒绝公开证实这一点，美国政府则既不愿证实也不否认这个漏洞出自他们之手。”

截止目前，美国国家安全局仍然没有任何针对这次病毒袭击的表态。

美国一直以来的“假想敌”俄罗斯这次真想哭

而且颇为讽刺的是，该局的“一把手”Michael Rogers在5天前这轮病毒袭击还没发生时曾经针对网络袭击发言，可当时他眼中的假想“受害者”却是美国，而“假想敌”则是这次被“想哭么”病毒差点“搞哭”的俄罗斯……

所以，美国《纽约时报》今天也撰文挖苦说：俄罗斯又一次站在了全球网络袭击的风暴中心，只不过他们的角色反而是受害者，而且还是受伤最深的那个。

根据卡巴斯基实验室分析员的调查，WanaCrypt0r 首波受害的国家，俄罗斯是其中受害最严重的国家之一，而且恶意程序看来要尽可能感染越多位在俄罗斯的电脑越好。

由于黑客运用从 NSA 偷来的恶意程序，改成这次造成全球尺度大灾情的勒索病毒，因此来自 NSA 修改的程序会特别针对俄罗斯下手并不令人意外。

除了俄罗斯的政府机关，俄罗斯的铁路公司和银行甚至医院也严重受创。不过这些单位关键的内网并未受影响。

由于俄罗斯的电脑有不少用老旧版本或盗版的 Windows 操作系统，操作系统往往未更新，因此成为 WanaCrypt0r 相当好下手的目标。俄罗斯内政部有上千台电脑受感染，但所幸关键的服务器未被感染，因为服务器电脑用的是俄罗斯国产的操作系统。

俄罗斯的机构 Institute of Problems of Globalization in Russia 总监 Mikhail Delyagin 说 WanaCrypt0r 背后是美国政府搞鬼，目的是报复俄罗斯的黑客攻击行动。

尽管这次 WanaCrypt0r 风暴俄罗斯损失惨重，但先前俄罗斯常常是不少黑客攻击活动的发起地。像是俄罗斯黑客被指控侵入美国民主党全国委员会的网站，欲暗助共和党候选人特朗普当选美国总统。俄罗斯黑客研发的 Gameover Zeus 恶意程序系统，里面含有勒索软件 Cryptolocker。