После анализа исходников специалисты смогли связать авторов WannaCry с вредоносами Mydoom, Joanap и DeltaAlfa.
Анализ кода вредоносных программ позволил выявить схожесть некоторых киберкампаний и связать их с деятельностью северокорейских хакеров. К такому выводу пришли эксперты из McAfee и Intezer после изучения инструментов, применявшихся в ряде атак за последние восемь лет.
Исследователи использовали анализатор исходного кода программ, чтобы найти в них повторяющиеся фрагменты. На основании этой информации эксперты составили карту взаимосвязей между зловредами и кампаниями, ассоциированными с Северной Кореей. Анализ позволяет с уверенностью утверждать, что за атаками Silent Chollima, 10 days of Rain, DarkSeoul и HoneyBee, которые разделяет несколько лет, стоят одни и те же исполнители.
Аналитики привели несколько примеров повторного использования кода, выявленного в процессе исследования. Так, специалисты указали на общий текст SMB-модуля в шифровальщике WannaCry, обнаруженном в 2017 году, сетевом черве Mydoom, выявленном в 2009-м, а также программах Joanap и DeltaAlfa. О связи этих зловредов свидетельствует применение одной и той же библиотеки AES из репозитория CodeProject.
Вредоносные программы NavRAT и Gold Dragon, применявшиеся в атаке против южнокорейских казино, используют общие DLL-библиотеки и методы инвертирования битов. В частности, первые четыре байта каждого из объектов содержат XOR-ключ 0xDEADBEEF для тривиального шифрования двоичного кода.
Еще одним свидетельством связи между разными криминальными кампаниями является использование одного и того же кода для запуска cmd.exe. Идентичные фрагменты были обнаружены в скриптах Brambul и KorDllBot, связанных с группировкой Lazarus. Эксперты отмечают, что атаки с применением этих зловредов разделяет почти два года.
По мнению аналитиков, в Северной Корее действует несколько кибергруппировок, объединенных в два клана, каждый из которых решает собственные задачи. Хакеры из Unit 180 стоят за вредоносными кампаниями, нацеленными на получение иностранной валюты. К таковым относятся атаки на игорные заведения или же взлом банковских систем. Эксперты указывают, что для отмывания денег, полученных в результате нападения, используются одни и те же финансовые организации, ассоциированные с КНДР.
Вторая команда киберпреступников под названием Unit 121 действует в интересах государственных и военных ведомств страны. На счету этой группировки шпионские атаки Operation Troy, а также кампания DarkSeoul и взлом сети Sony Pictures. Целью всех этих операций являлась кража конфиденциальных данных.
На связь шифровальщика WannaCry c северокорейскими хакерами специалисты «Лаборатории Касперского» указывали еще в 2017 году. Новое исследование подтвердило выводы экспертов и выявило прямые совпадения фрагментов кода зловреда с исходниками KorDLLbot, а также инструменты из арсенала группы HiddenCobra.