Vajon ki állhat az elmúlt pár napban a fél világon végigsöprő, és óriási pánikot keltő WannaCry zsaroló vírus mögött? – ez a kérdés foglalkoztatja most az összes online biztonságtechnikai céget és szakembert. A teóriáknak se szeri, se száma, bizonyíték annál kevesebb van, de hát ez az online bűnesetekkel kapcsolatban elég általános jellegzetesség. Most a Google egyik biztonsági szakértője, Neel Metha dobott be egy új elméletet: az akciót a hírhedt Lazarus Group hekkercsoporthoz köti, és azzal áttételesen Észak-Koreához.

A Lazarus Groupot tartja a szakma a 2014-es Sony-feltörés, és a 2016-os bangladesi online bankrablás elkövetőjének. Mind a kettő óriási visszhangot kiváltó, félelmetesen profi akció volt. A bankrablásban 100 millió dollárt lovasítottak meg, a Sony esetében pedig kiteregették a cég teljes belső levelezését, súlyosan kellemetlen helyzetbe hozva egy csomó celebet, és persze magát a céget is. Az utóbbi akció egyértelműen Észak-Koreához köthető, a hekkerek a Kim Dzsongunt kigúnyoló Interjú című Sony-film premierjét akarták meghiúsítani a cég megzsarolásával, sikertelenül. A Lazarust sosem sikerült elkapni, vagy felderíteni, de észak-koreai megbízásra dolgozó csúcsprofi kínai hekkercsapatnak tartják őket.

Metha a WannaCry forráskódjában talált olyan részleteket, amelyek egy az egyben a Lazarus által korábban használt más vírusokból lettek átemelve. A WannaCry egyébként is kínai eredetűnek tűnik: az angol nyelvű zsaroló szöveg láthatóan fordítóprogrammal készült, míg a kínait egy anyanyelvi szinten beszélő valaki írhatta. A kódban a dátumok és időbélyegek is kínai időzóna szerintiek. A bizonyítékok nem túl erősek, az is lehet, hogy a WannaCry írói egyszerűen átmásoltak kódrészleteket a Lazarus korábbi vírusaiból. Az viszont legalábbis gyanús, hogy a zsaroló vírus legújabb verzióiból ezek a kódrészletek már eltűntek.

Ha elfogadjuk az észak-koreai kapcsolat elméletét, az újabb érdekes kérdéseket vet fel. A vírus által legsúlyosabban érintett országok egyike ugyanis éppen Kína volt, ez pedig biztosan nem véletlen, hanem a célzott támadás eredménye. Erre utal a direkt kínaiul megírt zsaroló szöveg létezése is, az általános angol mellett. Kína Észak-Korea legfontosabb, és gyakorlatilag egyetlen szövetségese, a kínai kereskedelmi kapcsolatok nélkül az ország jó eséllyel összeomlana. Az utóbbi hónapokban azonban látványosan megromlott a viszony a két ország között, az észak-koreai nukleáris kísérletek miatt.

A WannaCry zsaroló vírus lévén elsősorban a pénzszerzésre ment rá, váltságdíjat kért a megtámadott gépek titkosítással elérhetetlenné tett adathordozóinak dekódolásáért. Ebben valójában nem volt túl hatékony, a szakértők szerint úgy 60 ezer dollárnyi bitcoint sikerült a vírus gazdáinak begyűjteniük ezzel. Több százezer megfertőzött gép mellett ez nem mondható átütő sikernek. Ha viszont ez csak a látszat, és a vírus valójában egy üzenet volt, annak demonstrálása, hogy mekkora kárt tud okozni a Lazarus, ha akar, mindjárt sikeresebbnek tűnik az egész akció, és tökéletesen beleillik az észak-koreai teóriába is.