‘Mogelijke link WannaCry en Noord-Korea’

Beveiligingsbedrijven meldden maandag in een vroege versie van WannaCry code te hebben gevonden die werd gebruikt door de Lazarus-groep.

Zuid-Koreaanse beveiligingsexperts onderzoeken de verspreiding van de gijzelsoftware WannaCry. Foto Yonhap/AFP

Verschillende beveiligingsexperts zeggen aanwijzingen te hebben gevonden voor een link tussen de gijzelsoftware WannaCry en een hackerscollectief dat eerder in verband werd gebracht met de Noord-Koreaanse staat. Dit weekend werden tal van grote bedrijven en organisaties getroffen door WannaCry. De cyberaanval legde vrijdag computersystemen plat in bijna honderd landen, waaronder Engeland, Rusland, China, de Verenigde Staten, Brazilië en een aantal Zuid-Europese landen.

Beveiligingsbedrijven Kaspersky en Symantec, beiden internationaal gerenommeerd, meldden maandag dat ze in een vroege versie van WannaCry code hebben gevonden die ook voorkomt in software die werd gebruikt door de Lazarus-groep, een hackerscollectief dat ervan verdacht wordt banden te hebben met Noord-Korea. De groep wordt onder andere in verband gebracht met de hack van entertainmentbedrijf Sony in 2014.

Vergelijkbare code

Beide beveiligingsbedrijven benadrukken dat het nog veel te vroeg is met zekerheid vast te stellen of er een link bestaat met Noord-Korea. Het kan weken of zelfs maanden duren voordat hier meer duidelijk over wordt. Mogelijk is de code ook opzettelijk toegevoegd om een vals spoor te creëren. Niettemin schrijft Kaspersky in een blogpost dat scenario onwaarschijnlijk te vinden, omdat de code wel aanwezig was in een erg vroege versie van WannaCry, maar in latere versies is verwijderd.

Amerikaanse ambtenaren bevestigingen tegen persbureau Reuters dat ze een mogelijke link met Noord-Korea niet uitsluiten. Ook Zuid-Koreaanse beveiligingsexperts meldden dinsdagochtend aan Reuters dat hun bevindingen overeen komen met die van Kaspersky en Symantec. “Deze code komt sterk overeen met onderdelen van kwaadaardige software uit Noord-Korea”, aldus Simon Choi, een Zuid-Koreaanse expert die eerder veel onderzoek deed naar de hackpraktijken van Noord-Korea.

Beveilingsbedrijf FireEye zegt tegen Reuters de link eveneens te onderzoeken, maar terughoudend te zijn bij het leggen van een link met Noord-Korea, omdat de overeenkomsten niet uniek genoeg zouden zijn om eenduidig op dezelfde oorsprong te wijzen.

Google-onderzoeker

De onderzoekers kwamen de code op het spoor nadat een onderzoeker bij Google in een tweet twee onderdelen vermeldde met de hashtag #WannaCryptAttribution. De onderzoeker, Neel Mehta, verwijst daarbij naar overeenkomsten tussen de twee onderdelen, waarvan één afkomstig is uit een vroege WannaCry-versie en de andere uit code die in 2015 door de Lazarus-groep werd gebruikt.

Twitter avatar neelmehta Neel Mehta 9c7c7149387a1c79679a87dd1ba755bc @ 0×402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4
#WannaCryptAttribution

De Lazarus-groep werd eerder in verband gebracht met de hack van Sony, alsook met een grootschalige diefstal van de Bengaalse centrale bank en hacks van Poolse banken. Al die aanvallen werden tevens gelinkt aan Noord-Korea.