본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
구글, 워너크라이 랜섬웨어 공격과 北연계성 발견2017.05.18
개요
 
  • 구글은 `17년 2월에 처음 등장한 워너크라이 랜섬웨어에서 발견된 코드가 `15년 초에 사용된 Cantopee (+북한 연계 해킹그룹인 라자루스가 개발한 악성 백도어)와 동일하다는 것을 발견
    ※ 워너크라이 랜섬웨어 : MS社 윈도우즈 운영체제의 SMB(Server Message Block : 파일·장치를 공유하기 위해 사용하는 통신 프로토콜) 취약점을 악용한 워너크라이 랜섬웨어가 `17.5.12일부터 전세계 150개국의 최소 30만대 컴퓨터를 감염
 

주요내용

 

  1. 해외 보안기업들(Kaspersky Lab 및 Symantec, Intezer, Comae Technologies)은 즉시 구글의 방법을 따라가면서 워너크라이 랜섬웨어와 라자루스 및 조아냅, 브램블 등 다른 악성코드 군들과 강력한 연관성을 확인함. 워너크라이는 상기한 코드들과 동일한 저자가 작성하거나 수정한 것으로 나타남
  • `11년 이래로 운영중인 라자루스 해킹그룹은 `13년 다크서울 작전 및 `14년 소니 픽처스 해킹, `16년 방글라데시 중앙은행 해킹을 주도했던 세력으로 지적되고 있음
  1. 그러나 워너크라이 작성자가 분석가들과 기관들의 조사를 호도하기 위하여 라자루스의 백도어 프로그램에서 고의로 코드를 복사했을 가능성이 있기 때문에 라자루스 해킹그룹과 워너크라이 연계성을 확정하기에는 현재까지 발견이 충분하지 않음
  • 최근 수년간 라자루스를 추적해온 시만텍은 워너크라이와 라자루스 해킹과 유사성을 발견했으나, 연관성이 약하다고 언급하며 강력한 연관성을 파악하기 위해 지속조사를 시사


[출처]
1. The Hacker News, “Google Researcher Finds Link Between WannaCry Attacks and North Korea”, 2017.05.15.
2. Associated Press, “EXPERTS SEE POSSIBLE NORTH KOREA LINKS TO GLOBAL CYBERATTACK”, 2017.05.16



작성 : 침해사고분석단 종합분석팀
키워드 구글 , 북한 , 워너크라이