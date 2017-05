Het cybersecuritybedrijf Kaspersky Lab heeft aanwijzingen dat de malware die sinds vrijdag wereldwijd computers gijzelt uit Noord-Korea komt. Dat blijkt uit een gevonden code in WannaCry, zoals de gijzelsoftware – oftewel ransomware – wordt genoemd. Een deel van diezelfde code werd eerder gebruikt door een groep hackers die aan Noord-Korea gelieerd wordt. De vraag is of je daar harde conclusies aan kunt verbinden.

Kaspersky Lab is een van oorsprong Russisch bedrijf dat in Nederland samenwerkt met de politie om ransomware uit te roeien. En één van de vele organisaties die WannaCry momenteel minutieus aan het uitpluizen is, op zoek naar hints die de oorsprong verraden. Dat zit vaak in de kleine foutjes die bij de ontwikkeling worden gemaakt: bijvoorbeeld een verbinding met de server waar vandaan de commando’s worden gegeven die een keer per ongeluk niet goed versleuteld is. Of een leesteken in de code dat typisch is voor een Russisch dan wel Koreaans toetsenbord.

De gevonden code in WannaCry die overeenkomt met die in eerdere malware, is eveneens zo’n aanwijzing, zegt Martijn van Lom, directeur Benelux van Kaspersky Lab. “Uit ervaring weten we dat mensen die aan malware knutselen vaak delen van dezelfde code gebruiken. Natuurlijk moet je er altijd rekening mee houden dat iemand anders de code gekopieerd kan hebben. Maar dat betekent wel dat degene die door en door moet kennen en begrijpen.”

De code die de onderzoekers in WannaCry vonden, is dezelfde als in de malware afkomstig van een hackersgroep met de naam Lazarus

De code die de onderzoekers in WannaCry vonden, is dezelfde als in de malware afkomstig van een hackersgroep met de naam Lazarus. Die groep zat achter de spraakmakende digitale aanval op Sony in 2014, waarbij veel interne gegevens van het bedrijf op straat kwamen te liggen. Onder meer de FBI gaat er vanuit dat de hack uit Noord-Korea kwam. Het is bekend dat het regime honderden hackers in dienst heeft die zich actief bezighouden met cyberaanvallen.

Alleen al vanwege de schaal van de aanval, waarbij duizenden computers werden versleuteld, gaat Van Lom er vanuit dat achter WannaCry een grote groep schuilgaat. Toch is het volgens hem te vroeg voor een definitieve conclusie. “Er is eerst meer onderzoek nodig. Dat is ook de reden dat we de bevindingen nu al hebben gepubliceerd. Zo kunnen andere onderzoeksteams er ook mee aan de slag.”

Dwaalsporen Dan nog is het de vraag of je ooit met zekerheid een dader kunt aanwijzen. Zo moeten onderzoekers er altijd rekening mee houden dat ze met dwaalsporen te maken krijgen. Om hun identiteit te verbergen, laten internetcriminelen nog wel eens expres informatie achter die eigenlijk niet klopt. Een Russisch woord bijvoorbeeld, terwijl de groep uit China komt. Ook in WannaCry zitten wat vreemde elementen. Waarom was de malware bijvoorbeeld vrij eenvoudige onschadelijk te maken? Dat kan duiden op een amateuristische fout of een bewuste actie. En waarom werd juist op vrijdagmiddag de eerste aanval uitgevoerd? Van Lom: “Als het doel is zoveel mogelijk geld te verdienen, dan zou je verwachten dat je het juist op maandagochtend zou doen, op het moment dat veel mensen aan het werk zijn en achter de computer zitten.”

