已經(jīng)有很多安全公司確認(rèn)，昨日大規(guī)模爆發(fā)的 Bad Rabbit 和今年六月底的 NotPetya 有很大的關(guān)聯(lián)。

到目前為止，已經(jīng)有 Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, Malwarebytes, 和安全研究員 Bart Parys都已經(jīng)發(fā)布相關(guān)報(bào)告揭示二者之間的聯(lián)系。

思科的研究人員表示：

Bad Rabbit 和 NotPetya 是有相似之處的，因?yàn)樗鼈兌际窃?Petya 的基礎(chǔ)上演進(jìn)的，但代碼的主要部分已經(jīng)被重寫了。

壞兔子或與 TeleBots 有關(guān)

今年六月，ESET 就將 NotPetya 和去年和前年年底攻克烏克蘭電網(wǎng)的TeleBots網(wǎng)絡(luò)間諜組織聯(lián)系起來了。

其背后的團(tuán)隊(duì)從 2007 年以來就一直活躍著，并且使用很多的假名掩蓋自己，如Sandworm，BlackEnergy 和最近的 TeleBots ，還有很少人知道的 Electrum，TEMP.Noble 和 Quedagh 。

最讓 TeleBots 出名還是那次對(duì)烏克蘭的攻擊事件，當(dāng)時(shí)許多人都懷疑該組織是在俄羅斯境外運(yùn)作的，并聽命于俄羅斯當(dāng)局。因?yàn)楹诳褪窃诙砹_斯吞并克里馬亞（克里米亞以前是烏克蘭的領(lǐng)土）之后才攻擊烏克蘭的。

6 月，TeleBots 的攻擊節(jié)奏也變快了，當(dāng)時(shí)爆發(fā)了大規(guī)模的 NotPetya 勒索事件，烏克蘭用戶在總的受害者比例中占了 60% 到 70%。

再說回這次的 Bad Rabbit ，情況就有點(diǎn)不一樣了，雖然俄羅斯是這次攻擊的重災(zāi)區(qū)（受害者高達(dá)70%），但對(duì)比烏克蘭來說影響的效果并不大，因?yàn)闉蹩颂m的被攻擊目標(biāo)都是一些非常重要的組織，比如機(jī)場，地鐵系統(tǒng)和政府機(jī)構(gòu)。

此次攻擊，黑客籌劃了幾個(gè)月

雖然很多研究人員都對(duì) Bad Rabbit 的源碼進(jìn)行了分析，但還是有很多報(bào)告關(guān)注此次攻擊背后的準(zhǔn)備工作。

根據(jù)RiskIQand Kaspersky Lab的研究人員所說，在 Bad Rabbit 活躍之前，最初黑客花費(fèi)了幾個(gè)月的時(shí)間來對(duì)網(wǎng)站進(jìn)行攻擊，并將虛假 Flash Player 升級(jí)提示代碼植入這些網(wǎng)站中。

而只有像 TeleBots 這樣的國家級(jí)黑客才可能會(huì)浪費(fèi) 3 到 4 個(gè)月的時(shí)間來做準(zhǔn)備工作。

并且 RiskIQ 還表示，有一些網(wǎng)站在去年就已經(jīng)被攻擊了，這也表明這些攻擊者可能不只是一個(gè)組織。

研究人員表示Bad Rabbit 很可能只是一個(gè)煙霧彈

這也可以證明很多研究人員都將 Bad Rabbit 看成一個(gè)煙霧彈，它的出現(xiàn)是為了吸引大眾視線，從而掩蓋其他更危險(xiǎn)的攻擊。

專家認(rèn)為，雖然調(diào)查人員都在研究這次攻擊的技術(shù)底層，但是 TeleBots 還可能會(huì)悄悄地從這些敏感目標(biāo)中（機(jī)場，地鐵，政府機(jī)構(gòu)）竊取到數(shù)據(jù)。而且他們還可能部署一個(gè)新的勒索軟件來轉(zhuǎn)移視線，銷毀以前未被發(fā)現(xiàn)的入侵證據(jù)。

使用勒索軟件來聲東擊西還是一個(gè)很新的概念，但是已經(jīng)有現(xiàn)實(shí)中的例子了。