Jakten på de skyldiga bakom den omfattande it-attacken och utpressningsviruset Wannacry fortsätter. Allt oftare nämns Nordkorea och den ökända hackargruppen Lazarus i diskussionerna. Nu senast är det säkerhetsföretaget Symantec som pekar ut nordkoreanska hackare som troliga gärningsmän, skriver Reuters.
Nära en och en halv vecka har gått sedan Wannacry slog till och infekterade mer än 300 000 datorer världen över. Utpressningsviruset låste datorer hos sjukhus, banker och företag i 200 länder. Bland de drabbade återfanns Storbritanniens sjuk- och hälsovård NHS och svenska kommunen Timrå.
Läs också: Wannacry – det här behöver du veta om den massiva ransomware-attacken
Nu säger Symantec att de hittat kopplingar mellan Wannacry och tidigare aktiviteter där nordkoreanska grupper identifierats. Det ska framför allt röra sig om likheter i virusets kod som hittats i tidiga versioner av utpressningsprogrammet. Men säkerhetsforskarna har också ett hur samma internetuppkopplingar använts för att installera de första versionerna som användes för att kommunicera med det verktyg som förstörde filer vid Sony-hacket 2014.
Nordkorea har förnekat all form av inblandning i någon it-attack. Rapporterna som pekar ut grupper i landet säger de är en del av en smutskastningskampanj. Den grupp som framför allt nämns i sammanhanget är alltså Lazarus Group som sägs ha kopplingar till Nordkoreas ledning. Det görs alltså inga direkta kopplingar till landets regering.Men bevisningen är inte helt vattentät. Visserligen är Symantec inte ensamma om att ha hittat kopplingar till Lazarus, men vare sig de eller någon annan säger sig ha hittat uppgifter som binder dem till attacken. Även säkerhetsföretaget Kaspersky har hittat likheter mellan Wannacry och tidigare attacker som kopplats till Lazarus. Vilket är ovanligt, säger företagets forskningschef i Asien Vitaly Kamluk.
Läs också: Det finns bara 28 hemsidor i Nordkorea
I ett blogginlägg beskriver Symantec de fynd som deras granskning visat på. Det handlar alltså om likheter i kod och att samma verktyg ska ha använts som tidigare. Samtidigt tyder virusets spridning och kravet på betalning i bitcoin på att det inte skulle vara en attack koordinerad från Nordkorea. Vilket lett till deras slutsats: attacken har kopplingar till Lazarus-gruppen men det är ingen attack som skett på regeringens order. En åsikt de främst baserar på tillgången till källkoden.
Andra uppgifter som har florerat i diskussionerna handlar om språket i koden. Den koreanska som används har brister, vilket tyder på att hackarna inte hade språket som modersmål. Samtidigt har just språkfel använts som metod för att lura experter och göra virus svårare att spåra.
