WannaCry : un lien chinois d'après une analyse linguistique

Le par  |  4 commentaire(s)
hacker

Après une analyse du code informatique, une analyse linguistique apporte de nouveaux éléments au sujet de l'attaque par ransomware WannaCry et sa possible provenance.

Ce mois-ci, le crypto-ransomware WannaCry a été à l'origine d'une cyberattaque massive qui s'est répandue à l'échelle de la planète. Ce nuisible a associé une capacité de ver informatique pour se propager avec celle d'un ransomware pour chiffrer des fichiers et exiger une rançon afin de les restituer.

Autrement connu en tant que WannaCrypt ou encore WanaCrypt0r 2.0, WannaCry a tiré parti d'une exploitation à distance d'une vulnérabilité Windows dans le protocole Server Message Block (SMB) pour le partage de fichiers à travers un réseau.

Cette vulnérabilité - ou exploit EternalBlue - avait été dévoilée mi-avril par le groupe The Shadow Brokers et dérobée à l'agence américaine de renseignement NSA. Microsoft avait publié un correctif le 14 mars. Il restait toutefois le problème d'anciennes versions de Windows sans support comme Windows XP, Windows 8 et Windows Server 2003… En raison du chaos provoqué par WannaCry, Microsoft a fini par faire une exception.

Sur la base de similitudes dans le code informatique entre des versions préliminaires de WannaCry et des attaques jadis utilisées par le groupe Lazarus, les principaux soupçons portent sur ce dernier concernant l'origine de la cyberattaque de la mi-mai. Un groupe qui aurait le soutien du gouvernement de Corée du Nord.

Des auteurs chinois...

Selon une analyse de l'entreprise de cybersécurité Flashpoint, des cycbercriminels avec pour langue native le chinois pourraient être derrière le ransomware WannaCry. Une piste qui s'appuie sur une analyse linguistique.

Avec WannaCry, la demande de rançon peut être formulée dans 28 langues différentes mais il apparaît d'après Flashpoint que seules les versions anglaises et chinoises (chinois simplifié et traditionnel) ont été écrites par un humain. Les autres versions sont issues d'une traduction par l'intermédiaire de Google Traduction.

La version en langue coréenne serait elle-même issue d'une traduction automatique depuis la version en anglais qui a servi de base aux autres traductions, sauf pour le chinois. Si cette version en anglais a été écrite de manière plus correcte qu'avec un système de traduction automatique, une erreur grammaticale dite flagrante (" But you have not so enough time ") trahit le fait que l'anglais n'est pas la langue maternelle de l'auteur même s'il en a une bonne maîtrise.

Ransomware hopital UK
Au contraire, divers éléments comme la ponctuation, la grammaire ou encore le choix de certains caractères aiguillent vers un auteur avec le chinois comme langue maternelle. La version chinoise contient en outre du contenu " substantiel " qui n'est pas présent dans les autres versions.

Même si le groupe Lazarus travaillerait avec l'appui de la Corée du Nord, il pourrait être basé en Chine. L'analyse de Flashpoint est un indice parmi d'autres, en gardant à l'esprit que les pistes peuvent avoir été intentionnellement brouillées.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1966501
Dans le code on trouve un nom de domaine avec comme fonction son arrêt si celui-ci existe et c'est pas un domaine chinois, et vu son but est de se faire un max de tune.

Si c'était la Corée ou un autre pays, j'aurais pas fait de fonction d'extinction et j'aurais pas chiffrés les fichiers gentiment.
J'aurais clairement plomber le pc direct, pas de tir de sommation
Bon après celui qui aurait fait ça aurait intérêt à avoir une sacrée paire de corones

Quand à la Chine, ils ont encore un max de windows XP et d'ailleurs il paye une maintenance pour avoir encore des mises à jours.

Vu que derrière il y a de l'argent, ce n'est pas des gouvernements comme le vers Stuxnet.
Bref un groupe de jeunes couillons voulant se faire de l'argent

Le #1966503
Ce genre dinfos après les révélations de wikileaks sur les programmes de la CIA pour se faire passer pour un autre pays dans les scripts (marble) me laisse septique.Imaginer qu'un groupe quelconque possédant ces outils puisse se faire passer pour qui il veule n'est pas de la théorie du complot mais une réalité objective.
Et au vu de la modicité de la "rançon" 300$ par rapport au cout de maintenance d'un parc informatique et le redéploiement du dit parc ,c'est rien,même pas un repas pour le staff de l'entreprise ça me laisse dubitatif ,car c'était les réseaux d'entreprise qui étaient visés pas de simple particuliers.
Le #1966534
jacob13 a écrit :

Ce genre dinfos après les révélations de wikileaks sur les programmes de la CIA pour se faire passer pour un autre pays dans les scripts (marble) me laisse septique.Imaginer qu'un groupe quelconque possédant ces outils puisse se faire passer pour qui il veule n'est pas de la théorie du complot mais une réalité objective.
Et au vu de la modicité de la "rançon" 300$ par rapport au cout de maintenance d'un parc informatique et le redéploiement du dit parc ,c'est rien,même pas un repas pour le staff de l'entreprise ça me laisse dubitatif ,car c'était les réseaux d'entreprise qui étaient visés pas de simple particuliers.


Tu as peut être raison mais ça ne veut pas dire non plus que ce ne sont pas eux les responsables. On ne sait pas tout simplement.
Il faut se méfier de ne pas toujours prendre les choses à l'envers, comme par exemple les gens qui téléchargent des cracks et quand leut antivirus clignote de partout il disent que c'est des faux positifs ...

Ca peut être le cas, ... ou pas !
Voilà pourquoi on a des millions de PC zombie à louer sur le marché.
Le #1966544
- Ce sont les russes ?
- Non !
- Ce sont les chinois ?
- Non !
- Ce sont les nord-coréens ?
- Non !
- Alors ce virus est un hoax !
-
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]