Güncelleme Tarihi:
Lazarus'un Çin kökenli olmakla birlikte Kuzey Kore adına hareket eden bir hacker grubu olduğu düşünülüyor.
Google'ın güvenlik araştırmacısı Neel Mehta'nın Wannacry kodunu incelerken fark ettiği bir detay, siber saldırının arkasında bu grubun olabileceği iddialarının gündeme gelmesine sebep oldu.
Tabi ki Mehta'nın WannaCry yazılımı ile geçmişte Lazarus Group saldırılarında kullanılan bilgisayar kodu arasında benzerlikler bulması, saldırının Lazarus Group tarafından düzenlendiği anlamına gelmiyor. Ancak bu konuda gözden geçirilmesi gereken birkaç ipucu daha var.
Kodu ayıklamak
Güvenlik siber uzmanı Profesör Alan Woodward, bana gönderdiği e-postada WannaCry içinde bulunan zaman damgasının Çin'in de içinde bulunduğu UTC + 9 (Eş Güdümlü Evrensel Zaman) aralığına göre düzenlenmiş olduğuna dikkat çekti.
Ayrıca, fidye metninin İngilizcesi makine tarafından tercüme edilmiş gibi dururken; metnin Çincesi ise anadili Çince olan biri tarafından yazılmış.
Woodward bu bulguların bir delil niteliğinde olmadığını düşünmekle birlikte, "Yine de bu konuda derinlemesine bir soruşturma yapılması gerek" diyor.
Rus siber güvenlik firması Kaspersky ise WannaCry kodu ve Lazarus Group'un kodu arasındaki benzerliği şöyle yorumladı:
"Mehta'nın keşfi şu ana dek WannaCry'ın kökeni ile ilgili ortaya çıkmış en önemli ipucu. Ancak kesin bir sonuca varmadan önce daha çok bilgi edinilmesi gerek. Diğer araştırmacıların da bu tip benzerliklere odaklanarak WannaCry hakkında daha fazla bilgi edinilmesine yardımcı olmaları oldukça önemli olduğuna inanıyoruz."
Bangladeş Merkez Bankası'na yapılan saldırıdan ardından Lazarus Group'un saldırı ile bir bağlantısı olmadığı düşünülüyordu. Kaspersky de açıklamasında bu konuda ortaya çıkacak yeni delillerin önemini vurguluyor:
"Zamanla ortaya çıkan yeni deliller bizim ve diğer güvenlik şirketlerinin Lazarus'un Bangladeş saldırısı ile bağlantısının bulunduğu kanısına ulaşmamızı sağladı. Bu tip olaylarda derinlemesine araştırmalar yapılması, noktaların birleştirilebilmesi için çok önemli."
Siber saldırıların bir grupla ilişkilendirilmesi oldukça zorlu bir süreç. Çoğu zaman da bu süreç saldırının, gerçekleştiren grup tarafından üstlenilmesi yerine konu hakkındaki uzmanların bir görüş birliğine varması ile sonuçlanıyor.
Örneğin, Kuzey Kore Sony Pictures'ın hacklendiği olayla bir bağlantısı olduğunu hiçbir zaman kabullenmedi. ABD hükümeti ve güvenlik uzmanları da bu saldırının Kuzey Kore tarafından gerçekleştirildiği konusunda hemfikir olmalarına rağmen, yanılma ihtimalleri bulunduğunu göz ardı etmiyorlar.
Çünkü becerikli hacklerlar kodlarında bazı teknikler uygulayarak saldırının kökeninin Kuzey Kore olduğuna inanılmasını sağlayarak bir 'sahte bayrak' numarası yapmış olabilirler.
'Bulgular delil niteliği taşımıyor'
WannaCry örneğinde hackerların Lazarus Group'un önceki saldırılarını inceleyerek onların kullandığı bilgisayar kodunu kopyalamış olma ihtimali de bulunuyor.
Kaspersky, 'WannaCry' saldırısınının kökenin olduğundan farklı gösterilmesinin mümkün olduğunu ancak bunun oldukça 'düşük bir olasılık' olduğunu da söylüyor.
Profesör Woodward ise hala olay hakkında çok fazla soru işareti bulunduğuna dikkat çekiyor.
"Şu an yeterli delil olmadığı için bu konuyu mahkemeye taşısaydık bir sonuç alamazdınız. Ancak kesinlikle bu konuda derinlemesine bir araştırma yapılması gerekli."
Şu an WannaCry'ın kökeninin ne olduğu hakkındaki teorilerin çoğunun başrolünde Kuzey Kore var. Ancak fidye yazılımının Kuzey Kore ile bağlantısı olmadığına işaret eden detaylar da bulunuyor.
Örneğin, yazılımdan en fazla zarar gören ülkelerin arasında Çin de bulunuyor. Ve hackerların fidye notunu Çince olarak da kodlarına ekledikleri görülüyor. Kuzey Kore'nin en güçlü müttefikine bu şekilde zarar vermesi beklenir bir davranış değil. Ayrıca yazılımdan Rusya da kötü bir şekilde etkilendi.
Buna ek olarak, Kuzey Kore şu ana dek düzenlediği siber saldırılarda genellikle politik bir hedefi göz önünde bulundurarak stratejik noktaları hedef alıyordu.
Sony Pictures örneğine baktığımızda, hackerlar Kuzey Kore lideri Kim Jong-Un'u hedef alan "The Interview" filminin gösterime girmesine engel olmaya çalışıyordu. WannaCry ise buna zıt olarak tüm bilgisayarlara yayılmaya çalışan bir yazılım.
WannaCry'ın amacı para kazanmak ise, bu konuda da oldukça başarısız olduğu söylenebilir. Suçluların kullandığı Bitcoin hesaplarındaki aktiviteye baktığımızda yazılımın şu ana dek sadece 60,000 Dolar fidye toplamayı başardığını görüyoruz.
Yazılımın 200,000'den fazla makineye yazıldığını göz önünde bulundurursak bunun makine başına oldukça düşük bir tutar olduğunu söyleyebiliriz. Kim bilir, belki de yazılımın fidye talebi bir hedef şaşırtma taktiğiydi.
Son olasılık ise Lazarus Group'un Kuzey Kore'den direktif almayan ve tek başına çalışan bir organizasyon olması. Çünkü gerçekten Lazarus Group'un Kuzey Kore ile hiçbir bağlantısı da olmayabilir.
Siber savaş konusunda gerçeklere ulaşmak oldukça güç. Şu anda bu konuda da elimizde cevaptan çok soru var.