Как полагают исследователи, группировка Lazarus предприняла шаги для маскировки под русских хакеров еще в начале 2016 года. Например, в программный модуль Client_TrafficForwarder, отвечающий за пересылку сетевого трафика, были добавлены отладочные символы и строки с русскими словами, написанными на латинице, для описания команд, которые может получить вредоносная программа от сервера управления.
"Использованные слова являются нехарактерными для носителя русского языка, а в случае с командой "poluchit" значение слова противоречит самому действию", - говорится в отчете Group IB.
Кроме того, в компании обратили внимание на тот факт, что представители Lazarus использовали для защиты своих исполняемых файлов коммерческий протектор Enigma, разработанный русским автором, а эксплойты для Flash и Silverlight был позаимствован из наборов эксплойтов, созданных русскоговорящими хакерами.
Представители Group-IB также напомнили, что ранее расследовали деятельность Lazarus и пришли к выводу, что эта группировка базируется в Северной Корее, а стоять за ней может Bureau 121 - одно из подразделений Разведывательного Управления Генштаба Армии КНДР, отвечающего за проведение киберопераций.
По данным исследователей, хакеры "долгие годы шпионили за идеологическими врагами режима" - госучреждениями и корпорациями США и Южной Кореи. Затем Lazarus начала атаковать банки и финансовые учреждения по всему миру. Самой масштабной операцией Lazarus стала попытка украсть в феврале 2016 года почти 1 млрд долларов из центрального банка Бангладеш, однако из-за ошибки в платежном документе хакерам удалось похитить только 81 млн долларов.
Напомним, что масштабная атака WannaCry, затронувшая около 300 тыс. пользователей в 150 странах, произошла 12 мая. Вирус-шифровальщик массово выводил из строя компьютеры и требовал выкуп за дешифровку файлов пользователей.
Сообщалось, что Россия больше других стран пострадала от WannaCry. Кибератака, в частности, затронула компанию "МегаФон", МВД, "Сбербанк", Минздрав. О попытке заражения сообщали в РЖД и Центробанке, где подчеркнули, что атака была безуспешной.
Стоит отметить, что официальные представители КНДР опровергли причастность страны к созданию WannaCry, а эксперты американской компании Flashpoint пришли к выводу, что создателями вируса-вымогателя WannaСry могут быть выходцы из Южного Китая, Гонконга, Тайваня или Сингапура.