很多報道認為，針對平昌冬奧會的襲擊事件源自朝鮮或者俄羅斯，因為在相關的軟件中研究人員發現了只有朝鮮黑客曾經用過的代碼片段。但卡巴斯基實驗室的新研究表明，那些代碼是故意留在那里的，為的是隱藏自己的蹤跡?；蛟S研究人員們需要重新分析一下他們的溯源方法了。

卡巴斯基全球研究和分析團隊負責人Vitaly Kamluk周四在墨西哥坎昆舉行的網絡安全會議上表示：“攻擊者變得越來越聰明，他們知道去偽造一些假的線索。”

要采取措施之前研究人員首先要找到攻擊的發起者。但這個過程往往很艱辛，2017年勒索軟件WannaCry勒索軟件用到了NSA的黑客工具，但我們不能斷定美國政府是背后的黑手。大約8個月之前，白宮才敢宣布俄羅斯發起了“NotPetya”攻擊，并把它稱為“歷史上最具破壞性的網絡攻擊”。

Kamluk說，研究人員仍在努力尋找誰發動了冬奧會的黑客攻擊，但他指出，那些來自朝鮮Lazarus黑客組織的代碼是偽造的。

卡巴斯基實驗室的研究人員在查看惡意軟件的“Rich Header”部分發現了偽造的跡象，該部分代碼在大多數可執行Windows文件中。他們發現Rich Header與以前的Lazarus Group攻擊不一致?？ò退够芯繂TIgor Soumenkov說，這些代碼是復制黏貼的。

“我們已經找到了證據證明這些百分之百是偽造的，目的是混淆公眾，”Kamluk說。

除了Lazurus組織的偽造特征外外，其他一些俄羅斯相關的黑客組織如Sofacy(也被稱為Fancy Bear和APT28)也牽連到這次襲擊中。其他國家的黑客組織如APT3(Gothic Panda)，APT10(MenuPass Group)和APT12(IXESHE)也有特征代碼涉及其中。

關鍵詞： 平昌 卡巴 斯基