เมื่อวานที่ผ่านมา (15 พฤษภาคม) นักวิจัยของกูเกิ้ลได้ออกมาโพสต์ข้อความลงทวิตเตอร์ เป็นชิ้นส่วนโค้ด ส่วนหนึ่ง ที่ชี้ให้เห็นความน่าจะเป็นที่เชื่อมโยงกันระหว่าง แรนซัมแวร์ WannaCry ที่กำลังโจมตีองค์กรนับพันและยูสเซอร์ทั่วโลกในขณะนี้ กับมัลแวร์ที่เป็นของกลุ่ม Lazarus กลุ่มแฮกเกอร์ชื่อก้องที่มีผลงานโจมตีองค์กรรัฐบาล โจมตีสื่อ และสถาบันการเงินไปทั่วโลก รวมถึงมีส่วนในเหตุการณ์โจมตีบริษัท Sony Pictures ในปี 2014 และการโจรกรรมไซเบอร์ที่ธนาคารกลางของบังคลาเทศเมื่อปี 2016 และในอีกหลายเหตุการณ์ที่เป็นการโจมตีในลักษณะคล้ายคลึงกันต่อเนื่องมาจนถึงปีปัจจุบัน 2017 นี้
นักวิจัยของกูเกิ้ลได้ระบุว่าโค้ดที่พบนั้นเป็นตัวอย่างมัลแวร์ WannaCry ที่เคยปรากฏในเดือนกุมภาพันธ์ 2017 (สองเดือนก่อนเหตุการณ์โจมตีครั้งใหญ่) ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (ทีม GReAT) ได้วิเคราะห์และตรวจสอบต่อจากข้อมูลนี้ และยืนยันชัดเจนว่าโค้ดนี้มีความคล้ายคลึงกันกับตัวอย่างมัลแวร์ที่กลุ่ม Lazarus เคยใช้ในการโจมตีในปี 2015 จริง
แต่จากข้อมูลของนักวิจัยของแคสเปอร์สกี้ แลป ที่ยืนยันความคล้ายคลึงกันนี้ ยังมีความน่าสงสัยว่าอาจเป็นการจัดฉากเอาไว้ แต่อย่างไรก็ดีในการวิเคราะห์ตัวอย่างที่ได้มาจากเดือนกุมภาพันธ์เมื่อนำมาเปรียบเทียบกับตัวอย่างที่พบใน WannaCry ซึ่งใช้โจมตีในปัจจุบัน กลับพบว่าโค้ดที่ชี้เป้าไปยังกลุ่ม Lazarus นั้น ถูกดึงออกจากตัวมัลแวร์ WannaCry ตัวล่าสุดที่ถูกใช้เมื่อวันที่ 12 พฤษภาคมที่ผ่านมาออกไปแล้วครับ จึงมีการคาดเดาว่า นี้อาจเป็นความพยายามปกปิดร่องรอยของกลุ่ม WannaCry เองก็เป็นได้
แม้ว่าความคล้ายคลึงกันเพียงอย่างเดียวที่ค้นพบ จะยังไม่ใช่ข้อพิสูจน์ที่หนักแน่นเรื่องความเชื่อมโยงกัน แต่ก็ก็นำไปสู่ข้อพิสูจน์ใหม่ๆ ที่จะสาวไปถึงต้นตอของ WannaCry ที่ยังเป็นปริศนาในขณะได้บ้างแล้วครับ
ข้อมูลเพิ่มเติม
- ความเชื่อมโยงของ WannaCry และ Lazarus
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
- คำถาม- คำตอบ WannaCry FAQ
https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/
- รู้จัก Lazarus
https://securelist.com/blog/sas/77908/lazarus-under-the-hood/
