D’après les experts en sécurité du cabinet FireEye, le malware de WannaCry partagerait un code unique avec des logiciels malveillants WHITEOUT, précédemment attribués à des acteurs suspects en Corée du Nord.
Alors que FireEye n’a pas vérifié l’observation par d’autres experts des outils RPDC connus utilisés pour supprimer les premières versions de WannaCry, les experts du cabinet n’ont pas observé d’autres groupes utiliser le code présent à la fois dans WannaCry et WHITEOUT et ne croient pas qu’il soit disponible en open source. Cela indique une connexion entre les deux.
L’analyse effectuée par Ben Read de FireEye a révélé que ce code unique était partagé par d’autres logiciels malveillants nord-coréens, y compris NESTEGG et MACTRUCK. De manière significative, alors que ce code est présent dans le logiciel malveillant MACTRUCK, il n’est pas utilisé. Le code partagé signifie probablement que, au minimum, les opérateurs de WannaCry partagent des ressources de développement de logiciels avec des opérateurs d’espionnage nord-coréens.
Du côté de la société de sécurité informatique Symantec, même constat qui semble relier la cyberattaque à la Corée du Nord. D’après ses chercheurs, plusieurs indices montrent que le groupe de hackers nord-coréen Lazarus pourrait bel et bien se cacher derrière cette manœuvre. Jusqu’à présent, les doutes étaient importants, mais manquaient encore de preuves tangibles.
Eric Chien, enquêteur chez Symantec, a ainsi donné plus de détails au New York Times :
« D’après tout ce que nous avons vu, les preuves techniques indiquent qu’il s’agit de Lazarus ».
De nombreux points ont attiré son attention. Lors du déploiement d’un honeypot, son équipe de recherche s’est rendue compte que les assaillants ont mis 2 minutes pour infecter plus de 100 ordinateurs du laboratoire, et que le serveur de commande et de contrôle était le même que celui utilisé pour l’attaque de Sony Pictures en 2014. Elle avait déjà été imputée à la Corée du Nord.
De plus, l’équipe d’Eric Chien a également constaté qu’un outil inclus dans WannaCry efface toutes les données précédemment laissées par les autres attaques de Lazarus. Enfin, la méthode de chiffrement de WannaCry serait assez particulière et rare pour être identifiable.
« Nous ne l’avons vue nulle part ailleurs », précise le chercheur en mentionnant encore une fois le groupe Lazarus.