Хакеров подвел Google-переводчик

Эксперты определили национальность создателей вируса WannaCry

Shutterstock
Исследователи смогли вычислить предположительное происхождение хакеров, создавших вирус WannaCry. Согласно проведенному лингвистическому анализу, родным языком злоумышленников с большой долей вероятности является китайский.

Лингвистический анализ помог экспертам компании Flashpoint установить национальность хакеров, предположительно создавших и запустивших вирус WannaCry, который поразил компьютеры в 150 странах мира. Сообщается, что злоумышленники могут быть из южных областей Китая, Гонконга, Тайваня или Сингапура.

Лингвисты против хакеров

Согласно отчету, родным для хакеров был южный диалект китайского языка. К такому выводу исследователи пришли, проанализировав сообщения с требованием выкупа, которые появлялись на зараженных компьютерах. Все они были переведены на 28 языков, включая русский, норвежский, филиппинский, турецкий и другие.

Анализ показал, что практически все сообщения о выкупе были переведены через Google Translate, и только английская и две китайские версии (упрощенная и классическая), вероятно, были написаны носителями языка.

Несмотря на то что сообщение на английском языке было написано человеком, хорошо владеющим языком, грубая грамматическая ошибка указывает на то, что это не родной язык автора. Flashpoint выяснила, что именно текст на английском стал первоисточником, который впоследствии перевели на остальные языки.

Сообщения о требовании выкупа на китайском языке отличаются от других по содержанию и тону. Кроме того, большое количество уникальных иероглифов свидетельствует о том, что их писал человек, свободно владеющий китайским. В тексте также обнаружена одна грамматическая ошибка, которую можно списать на автозамену или опечатку.

Текст содержит в себе и более точные указания на происхождение автора. Два иероглифа, употребленные в значении «неделя», чаще всего встречаются в Южном Китае, Сингапуре, Тайване и Гонконге. А четыре символа, в переводе дающие слово «антивирус», зачастую употребляются в центральной части КНР.

Кроме того, китайский текст обладает более расширенным содержанием, включая те строчки, которые отсутствуют в переводных сообщениях.

В частности, в нем присутствует фраза «даже пришествие бога не вернет вам эти документы», которая не вошла в требования о выкупе на других языках.

Таким образом, эксперты сделали вывод о том, что хакеры, вероятно, имеют китайское происхождение или свободно говорят на китайском языке. Помимо прочего, они неплохо знают английский язык, хотя и не на уровне носителя. Flashpoint пометила свой доклад маркировкой «высокая вероятность», но признала, что этих данных недостаточно, чтобы точно определить национальность создателей вируса WannaCry.

Северная Корея под подозрением

Ранее сразу несколько групп исследователей приписывали появление вируса WannaCry Северной Корее. Если верить экспертам, то ряд технических деталей указывают на то, что к кибератаке причастны хакеры из Lazarus Group. Эту же группу подозревали в кибератаках на Центробанк Бангладеш в 2016 году, а также на студию Sony в 2014 году.

В «Лаборатории Касперского» заявили, что в коде WannaCry были найдены идентичные фрагменты, совпадающие с кодом троянов Lazarus.

«Весь этот хаос вокруг — это все они, Lazarus. Боюсь, что после такого Северную Корею в интернете мы больше не увидим», — пишет главный антивирусный эксперт компании Александр Гостев на своей странице в Facebook.

Позже похожий вывод сделала и компания Symantec, занимающаяся разработкой программного обеспечения в сфере информационной безопасности. Она подтвердила, что обнаружила похожие инструменты и отрывки кода, характерные и для Lazarus, и для WannaCry. Впрочем, некоторые исследователи не исключают возможности, что сходство было сфабриковано намеренно, чтобы улики указывали на северокорейских хакеров.

Кибератака с применением вируса WannaCry произошла 12 мая 2017 года. Злоумышленники заблокировали свыше 300 тыс. компьютеров по всему миру, требуя выкуп в биткоинах. Распространение вируса было остановлено, но эксперты полагают, что атака может повториться.