ผู้บังคับใช้กฎหมายและผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลกเริ่มสืบสวนว่า ใครคือผู้อยู่เบื้องหลังไวรัสเรียกค่าไถ่ WannaCry ที่ระบาดไปทั่วโลก ซึ่งร่องรอยหนึ่งชี้ว่าอาจจะเป็นฝีมือของ เกาหลีเหนือ
ร่องรอยดังกล่าวแฝงตัวอยู่ในรหัสของ WannaCry โดย Neel Mehta นักวิจัยด้านความปลอดภัยของ Google ได้โพสต์ข้อความบนทวิตเตอร์ถึงตัวอย่างมัลแวร์ 2 โปรแกรมที่อาจมีความเกี่ยวข้องกัน มัลแวร์โปรแกรมหนึ่งคือ WannaCry ส่วนอีกโปรแกรมเป็นผลงานของแฮกเกอร์กลุ่มที่ใช้ชื่อว่า Lazarus ซึ่งเคยสร้างความปั่นป่วนด้วยการแฮกบริษัท Sony เมื่อปี 2014 และโจมตีระบบธนาคารในบังคลาเทศปล้นเงินไปได้ถึง 81 ล้านเหรียญสหรัฐ กลุ่มแฮกเกอร์ Lazarus นี้ถูกกล่าวถึงว่ามีรัฐบาลเกาหลีเหนืออยู่เบื้องหลัง จากการวิเคราะห์โดยบริษัทด้านความปลอดภัยหลายแห่ง
หลังจาก Mehta โพสต์ข้อความดังกล่าว นักวิจัยจาก 3 แหล่ง ได้แก่ ห้องวิจัย Kaspersky, Darien Huss นักวิจัยจาก Proofprint security และ Matthieu Suiche ผู้ก่อตั้ง Comae Technologies ได้สืบสวนรหัสนี้ในแนวทางเดียวกัน และพบความเป็นไปได้ว่า WannaCry จะเชื่อมโยงไปสู่เกาหลีเหนือได้จริง
ทั้ง Mehta และกลุ่มนักวิจัยเหล่านี้เห็นตรงกันว่า รหัสกลุ่มใหญ่กลุ่มหนึ่งในโปรแกรม WannaCry ตรงกัน 100% กับโปรแกรมมัลแวร์ Contopee ของกลุ่มแฮกเกอร์ Lazarus ที่เคยออกอาละวาดในช่วงเดือนกุมภาพันธ์ 2015 รหัสกลุ่มที่ตรงกันนี้ใช้สำหรับปกปิดการทำงานของมัลแวร์จากการตรวจจับโดยโปรแกรมรักษาความปลอดภัยในคอมพิวเตอร์
ทั้งนี้ Costin Raiu ผู้อำนวยการฝ่ายวิจัย ห้องวิจัย Kaspersky กล่าวว่า ร่องรอยส่วนนี้เป็นส่วนที่สำคัญที่สุดในการตามหาที่มาของไวรัส WannaCry แต่อย่างไรก็ตามยังต้องมีการวิจัยเพิ่มเติมก่อนจะยืนยันได้แน่ชัด
ขณะที่ Matthieu Suiche ผู้ก่อตั้ง Comae Technologies กล่าวว่า โดยปกติกลุ่ม Lazarus มักจะมุ่งเป้าไปที่การขโมยเงินในสถาบันทางการเงิน เมื่อไวรัสเรียกค่าไถ่ตัวนี้มีวัตถุประสงค์เพื่อเรียกรับเงินผ่านสกุลเงินดิจิทัล แสดงให้เห็นว่ามีวิธีปฏิบัติการในแนวทางเดียวกันหรือ
‘เงิน’ อาจไม่ใช่เหตุผล?
อย่างไรก็ตาม Vikram Thakur ผู้อำนวยการด้านเทคนิคจาก Symantec กล่าวว่า ทีมของเขาได้ทำการสืบสวนและพบว่า WannaCry มีพฤติกรรมที่แปลกเล็กน้อย จากการเลือกใช้กระเป๋าเงิน Bitcoin เป็นแหล่งรับเงินและระบุลงไปโดยตรงในรหัสของมัลแวร์ ซึ่งจะทำให้ติดตามเส้นทางการเงินได้
Thakur มองว่าพฤติกรรมนี้เป็นไปได้หรือไม่ที่จะบ่งชี้ว่าผู้อยู่เบื้องหลัง WannaCry ต้องการสร้างความปั่นป่วนบนโลกมากกว่าจะต้องการเงิน เพราะในอีกมุมหนึ่ง กลุ่มแฮกเกอร์ Lazarus เคยปฏิบัติการป่วนระบบของ Sony และเกาหลีใต้โดยไม่ได้ผลตอบแทนเป็นเงินเช่นกัน ดังนั้นการระบาดของ WannaCry ที่เริ่มโจมตีครั้งใหญ่ในระบบโรงพยาบาลของประเทศอังกฤษจนเป็นผลให้เกิดความเสี่ยงต่อชีวิตคนไข้ ก็อาจจะเป็นแนวคิดเพื่อสร้างความปั่นป่วนมากกว่าเพื่อเงินได้เช่นกัน
หรือหลักฐานนี้จะไม่นำไปสู่อะไรเลย
ถึงที่สุดแล้ว หลักฐานต่างๆ ก็ยังไม่ชัดเจนพอและอาจจะสร้างความเข้าใจผิดให้กับผู้บังคับใช้กฎหมายได้
นักวิจัยนิรนามรายหนึ่งกล่าวว่า เขาลงมือศึกษารหัสใน WannaCry ด้วยตนเองแต่ไม่เชื่อว่าความเหมือนกันของรหัสนี้กับของกลุ่ม Lazarus จะเป็นเอกลักษณ์พิเศษแต่อย่างใด
รวมถึง Darien Huss นักวิจัยจาก Proofprint security ที่แม้ว่าจะเห็นด้วยว่ามีรหัสกลุ่มหนึ่งใน WannaCry ตรงกับมัลแวร์จาก Lazarus แต่เขามองว่าการที่รหัสตรงกันไม่ได้หมายความว่ามัลแวร์จะมาจากแฮกเกอร์กลุ่มเดียวกันเสมอไป เพราะกลุ่ม Lazarus มีการสร้างมัลแวร์จากรหัสที่เปิดเผยทั่วไป (open source code) อยู่แล้ว ดังนั้นนักวิจัยต้องระมัดระวังว่า นี่อาจจะเป็นรหัสที่ทับซ้อนกันเพราะกลุ่มแฮกเกอร์สองกลุ่มไปทำสำเนารหัสมาจากแหล่งเดียวกันก็ได้
Thakur เสริมข้อมูลเพิ่มเติมว่า แฮกเกอร์มักจะมีการหยิบยืมรหัสกันไปมาเป็นปกติ โดยนักวิจัยมีการคาดการณ์ว่ามีตัวอย่างมัลแวร์ถึง 2,000 โปรแกรมที่ถูกเก็บไว้อย่างลับๆ ในกระทู้ใต้ดินที่เหล่าอาชญากรเข้าไปหยิบมาใช้ได้
แปลว่าการตามหาแหล่งที่มาของ WannaCry ก็อาจจะยังมืดแปดด้านอยู่ต่อไป
เรียบเรียงจาก Who’s Behind The Ransomware Pandemic? One Small Clue Points To North Korea โดย Thomas Fox-Brewster