Talvez nunca saibamos quem foram os perpetradores do ataque com
ransomware WannaCry. Sabemos que eles utilizaram uma brecha que era
parte de exploits roubados da NSA (Agência de Segurança Nacional dos Estados Unidos). Sabemos que os exploits foram vazados por um grupo chamado The Shadow Brokers. E que o governo norte-americano está apontando o dedo para
a Coreia do Norte. Agora, uma nova pesquisa conduzida pela empresa de
segurança Flashpoint indica que há uma conexão do ataque com o Sul da
China.
Em uma publicação recente
de blog, a Flashpoint delineou sua análise linguística dos pedidos de
resgate que foram enviados às vítimas do WannaCry. Cada pedido
basicamente dizia a mesma coisa: a vítima deveria transferir uma certa
quantidade de bitcoins para uma conta ou seus dados seriam
permanentemente perdidos. Mas esse foi um ataque global, que afetou
cerca de 100 países. Então o recado foi distribuído em 28 línguas.
Pesquisadores da Flashpoint estudaram os recados e descobriram que,
quem quer que fossem os autores, eles eram provavelmente “falantes
nativos chineses ou pelo menos fluentes”. Os pesquisadores apuraram que,
dos 28 diferentes recados, apenas a versão em inglês e as duas versões
em chinês (simplificado e tradicional) pareciam ter sido escritas por um
humano. Todas as outras mensagens pareciam ter sido traduzidas do
recado em inglês, usando o Google Tradutor.
O pedido de resgate em inglês é quase perfeito, exceto pelo que a
Flashpoint chama de “um erro gramatical evidente”, que sugere que “o
falante não é nativo ou talvez tenha um nível pouco avançado”. A
publicação da empresa de segurança não aponta qual foi o erro
gramatical. Observando a mensagem, há alguns erros, mas um se destaca:
“Mas você não tem tanto tempo bastante”.
De acordo com a Flashpoint, os recados em chinês continham, em suas
duas versões, mais informação e eram diferentes de todos os outros em
conteúdo, formato e tom. Da publicação:
Um erro de digitação no recado, “帮组” (bang zu) em vez
de “帮助” (bang zhu) querendo dizer “ajuda”, indica fortemente que a
mensagem foi escrita usando um sistema de entrada de idioma chinês em
vez de ser traduzido de uma outra versão para o chinês. Em geral, o
recado usa gramática correta, pontuação, sintaxe e escolha de
caracteres, indicando que o redator era provavelmente nativo ou pelo
menos fluente.
O Google Tradutor não lida muito bem com a tradução chinês-inglês ou inglês-chinês.
Tudo isso levou a Flashpoint a cuidadosamente concluir que “o(s)
autor(es) das mensagens de ransomware do WannaCry é (são) fluente(s) em
chinês, considerando que a linguagem usada é consistente com aquela do
Sul da China, de Hong Kong, Taiwan ou Singapura”.
Mas isso não nos revela muito sobre os hackers. Certamente, isso não
significa que eles estão localizados na China — hackers podem trabalhar
de qualquer lugar. E eles são conhecidos por deliberadamente usar incorretamente um idioma para enredar esse tipo de análise. Ao mesmo tempo, os hackers do WannaCry cometeram uns erros notavelmente amadores, incluindo um que tornou simples um breve desligamento da propagação do ransomware, e eles não usaram um sistema automatizado para garantir que um resgate tivesse sido pago.
Toda essa informação apenas acrescenta volume à intriga em torno do WannaCry. Pesquisas anteriores
apontaram para o possível envolvimento do Lazarus Group, que
acredita-se ser bancado pela Coreia do Norte. E o governo
norte-americano ontem mesmo mostrou gostar dessa teoria. O diretor de pesquisa na Ásia e no Pacífico da Flashpoint, Jon Condra, disse ao ThreatPost:
“A relação entre Coreia do Norte e China, especialmente nos campos de
inteligência, é provavelmente muito mais complicada do que o que se diz
amplamente”. Ele conta que isso apenas acrescenta outro ponto a essa
ideia, em vez de contradizer as conclusões de outras empresas de
segurança.
Fonte: Gizmodo