NSA legt link tussen WannaCry en Noord-Korea

NSA legt link tussen WannaCry en Noord-Korea

Uit een intern NSA-rapport zou naar voren komen dat Noord-Korea betrokken is bij de verspreiding van de WannaCry-malware, zo vertellen anonieme medewerkers aan The Washington Post. Het zou gaan om een poging om bitcoins te verdienen.

De krant schrijft dat het rapport, dat niet naar buiten is gebracht, is gebaseerd op een analyse van tactieken, technieken en doelwitten. Op basis daarvan zou de NSA met ‘gematigde zekerheid’ kunnen zeggen dat deze gelinkt zijn aan de Noord-Koreaanse geheime dienst. Uit het rapport komt verder naar voren dat de dienst een ‘cyber actor’ heeft gesteund die verantwoordelijk was voor twee versies van WannaCry. Daarbij gaat het om de Lazarus-groep, die ook door verschillende beveiligingsbedrijven met de ransomware werd verbonden.

In het rapport gaan analisten ervan uit dat WannaCry een poging was om geld te verdienen, die echter geen succes had. Tot nu toe zou niemand de ongeveer 140.000 dollar aan bitcoins hebben geclaimd. Beveiligingsonderzoeker Jake Williams laat aan de krant weten dat hij ervan uitgaat dat de verspreiding van de malware een fout was tijdens een testfase. Dat zou de gebreken van de kwaadaardige software verklaren. Hij noemt als voorbeeld dat de verspreiders niet kunnen zien wie het losgeld heeft betaald.

Een van de aanwijzingen voor Noord-Korea is het gebruik van een verzameling Chinese ip-adressen, die in het verleden door de Noord-Koreaanse geheime dienst zijn gebruikt. De informatie van de NSA zou verder overeenkomen met die van andere westerse inlichtingendiensten. Een van de diensten zou dit voorjaar een prototype van WannaCry bij een niet-westerse bank hebben ontdekt. In hoeverre de informatie van de NSA is gestoeld op de eerdere bevindingen van beveiligingsbedrijven, komt niet naar voren.

De WannaCry-ransomware, die zich in korte tijd over een groot aantal kwetsbare systemen verspreidde, maakte gebruik van een exploit van de NSA, genaamd Eternalblue. Daarover schreef The Washington Post eerder dat de NSA een waarschuwing had afgegeven aan Microsoft, zodat het bedrijf op tijd met de nodige patches kon komen. De Shadowbrokers publiceerden de Eternalblue-tool in april. De tool is een exploit voor een kwetsbaarheid in de implementatie van het smb-protocol