Há novas suspeitas sobre a origem do ciberataque através do vírus WannaCry que afetou mais 300 mil computadores em todo o mundo e todos apontam para a mesma fonte: Coreia do Norte. Esta nova hipótese está a ser avançada por investigadores e especialistas de cibersegurança de três empresas – Google e Symantec (dos EUA) e Kaspersky (da Rússia) -, bem como por for fontes da Comissão Europeia, para quem a autoria do ataque que atingiu 74 países nos últimos dias pode ter origem no regime de Pyongyang.
A suspeita nasceu depois de Neel Mehta, especialista em segurança da Google, ter descoberto conteúdo — entretanto partilhado na sua conta de Twitter — que apresentava semelhanças entre o código detetado no WannaCry (o software malicioso usado no ataque) e outras ferramentas usadas pelo grupo Lazarus.
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution— Neel Mehta (@neelmehta) May 15, 2017
Uma descoberta que fez de imediato soar os alarmes: Lazarus é precisamente o grupo ao qual se atribuiu a autoria do ataque à Sony Pictures em dezembro de 2014. A empresa, que os especialistas em cibersegurança acreditam trabalhar ao serviço dos norte-coreanos, segundo a BBC, terá originado o ataque contra a Sony como ato de represália pelo filme ‘A entrevista’, uma sátira ao líder Kim Jong-un.
A Lazarus terá ainda estado envolvida num ataque ao banco central do Bangladesh no ano passado e a várias instituições financeiras na Polónia em fevereiro deste ano. A semelhança nos padrões desses ataques com o que se deu nos últimos dias leva assim os especialistas informáticos a reforçarem as suspeitas de ligação da Coreia da Norte ao WannaCry, mas nenhuma das provas é, para já, conclusiva e pode levar semanas ou mesmo meses até confirmar essa ligação a Pyongyang.
Ainda de acordo com o New York Times, os autores envolvidos no último ataque digital basearam a ofensiva em vulnerabilidades que foram roubadas na NSA, a agência de segurança nacional, e entretanto publicadas. A ligação à Coreia do Norte é, por isso, fácil de fazer, mas os mesmos investigadores alertam que é comum os piratas informáticos copiarem padrões ou ferramentas usadas em ataques anteriores.
Ataque informático. O que foi, como se espalhou, quem o travou
Os investigadores da Kaspersky Lab também analisaram as informações divulgadas por Neel Mehta e confirmaram semelhanças de código claras entre as amostras de ‘malware’ destacadas pelo investigador da Google e as usadas pelo grupo Lazarus em ataques de 2015. A Kaspersky Lab esclarece também que “a semelhança poderia ser um false flag”. No entanto, reforçam num comunicado enviado às redações, “a análise da amostra de fevereiro e a comparação com WannaCry usada em ataques recentes mostra que o código que aponta para o grupo Lazarus foi removido do ‘malware’ WannaCry usado nos ataques iniciados na sexta-feira passada. Isso pode ser uma tentativa de cobrir os traços deixados pelos mentores da campanha WannaCry.”
Embora esta semelhança por si só “não permita a prova de uma forte ligação entre o ransomware WannaCry e o grupo Lazarus, pode potencialmente levar a novos, que dariam mais pistas sobre a origem WannaCry que, até agora, continua a ser um mistério”, adianta a empresa de origem russa..