由NotPetya背后的同一黑客进行的BadRabbit攻击: 研究人员

技术指标表明，本周袭击俄罗斯和其他国家的网络攻击是由黑客在6月对乌克兰进行的类似但规模更大的攻击背后进行的，安全研究人员周三分析了这两项运动。总部位于俄罗斯的网络公司Group-IB表示，本周攻击中使用的BadRabbit病毒与Notpetya恶意软件共享了一段关键代码，该恶意软件在今年早些时候削弱了乌克兰和全球的企业，这表明该组织对此负有责任。

BadRabbit袭击周二袭击了俄罗斯，乌克兰和其他国家，击落了俄罗斯的国际文传电讯社，并推迟了乌克兰敖德萨机场的航班。多名网络安全调查人员将这两次攻击联系起来，理由是恶意软件编码和黑客方法相似，但没有直接归因。尽管如此，专家还是警告说，归因于网络攻击是出了名的困难，因为黑客经常使用技术来掩盖他们的踪迹，有时还故意误导调查人员有关其身份的信息。

思科Talos部门的安全研究人员说，BadRabbit与Notpetya有一些相似之处，因为它们都基于相同的恶意软件，但是大部分代码已经重写，新的病毒分发方法不那么复杂。他们确认BadRabbit使用了一种名为Eternal Romance的黑客工具，该工具据信是由美国国家安全局 (NSA) 开发的，然后在4月被盗并在线泄露。Notpetya还使用了Eternal Romance，以及另一种称为Eternal Blue的NSA工具。但是塔洛斯说，它们的使用方式不同，没有证据表明坏兔子含有永恒的蓝色。

group-IB在一份技术报告中表示: “10月25日的BadRabbit勒索软件攻击和Notpetya病毒的流行很有可能是同一群黑客的幕后黑手，Notpetya病毒2017年6月攻击了乌克兰的能源、电信和金融部门。”法国黑客、阿拉伯联合酋长国网络安全公司Comae Technologies的创始人Matthieu Suiche表示，他同意IB集团的评估，即 “有充分的理由考虑” BadRabbit和Notpetya是由同一个人创建的。但是一些专家表示，结论令人惊讶，因为人们普遍认为Notpetya袭击是由俄罗斯实施的，莫斯科否认了这一指控。

乌克兰官员表示，Notpetya袭击直接针对乌克兰，并由一个被广泛称为Black Energy的黑客组织进行，一些网络专家称该组织有利于俄罗斯政府的利益。莫斯科一再否认对乌克兰进行网络攻击。BadRabbit的大多数受害者在俄罗斯，只有少数在乌克兰，保加利亚，土耳其和日本等其他国家。Group-IB表示，BadRabbit病毒的某些部分可以追溯到2014年中，这表明黑客使用了先前攻击中的旧工具。“这与黑能时间框架相对应，因为该集团2014年开始了其显著的活动，” 它说。