r   e   k   l   a   m   a
r   e   k   l   a   m   a

Włamanie do Sony Pictures to kara za jedną głupią komedię? Biuro 121 jest do tego zdolne

Strona główna AktualnościINTERNET

Włamanie do korporacyjnej sieci Sony Pictures było najprawdopodobniej największym tego typu incydentem w historii bezpieczeństwa IT. Zaawansowany robak, wobec którego zabezpieczenia Windows okazały się bezwartościowe, pozwolić miał napastnikom na przejęcie nawet stu terabajtów danych, w tym wielu dokumentów, które nigdy nie powinny ujrzeć światła dziennego. Dyskusje na temat tożsamości napastników wciąż trwają, ale coraz więcej osób wskazuje na enigmatyczne Biuro 121, elitarną jednostkę północnokoreańskich hakerów.

Narzędzie zbrodni

Prowadzący śledztwo w sprawie włamania agenci FBI opublikowali niedawno memorandum poświęcone technice ataku. Wykorzystane przez napastników malware, oznaczone dziś jako „Troj/Destover-C” miało wykorzystywać mechanizmy zdalnego zarządzania i współdzielenia plików w sieciach Microsoft Windows do zarażania kolejnych komputerów, wyłączania usług sieciowych czy restartowania komputerów, podmieniając kluczowe komponenty zainfekowanego systemu. Dostarczany najpewniej w wykonywalnym załączniku szkodnik instalował własną usługę systemową i udostępniał w sieci lokalnej katalog C:\WINDOWS z pełnymi uprawnieniami do zapisu.

Poprzez powłokę Windows Management Interface malware komunikowało się z innymi komputerami podłączanymi do sieci, uruchamiając na nich kod ze swojego udziału sieciowego i zarażając je w ten sposób, a także utrzymywało kontakt z zewnętrznymi adresami IP w Japonii, prawdopodobnie związanymi z siecią korporacyjną Sony. Co ciekawe, oglądany przez pracowników na ekranach ich komputerów komunikat o ataku też pochodził z sieci – odpowiadał za niego podrobiony webserwer IIS (uruchomiony jako plik iissrv.exe), odpowiadający na porcie 80 jak każdy normalny serwer WWW.

r   e   k   l   a   m   a

W pewnym momencie malware przechodziło do ataku, „odpalając” ładunek ukryty w pliku igfxtrayex.exe. Tworzył on cztery kopie siebie, które uruchamiane były z różnymi argumentami, wywołując poszczególne zakodowane formy ataku. M.in. wyłączane były usługi archiwizacji serwerów Exchange, odłączane bazy tego serwera poczty i wyłączana cała usługa pocztowa. Szkodnik kontaktował się następnie ze swoimi serwerami dowodzenia i kontroli. Co ciekawe – jeden z nich znajdował się w Polsce. W tym samym czasie rozpoczynało się kasowanie zawartości dysków sektor po sektorze. Windows następnie przechodziło w stan uśpienia na dwie godziny, a potem restartowało się. Dysk jednak był już wyczyszczony do zera. Jak twierdzą badacze, możliwe to było dzięki wykorzystaniu sterownika dysku RawDisk firmy ElDos, zamaskowanego przez malware jako sterownik USB 3.0.

FBI niestety nie tłumaczy, w jaki sposób szkodnik zdołał wydobyć tak ogromne ilości danych z Sony Pictures, eksperci podejrzewają jednak, że etap ich ekstrakcji mógł trwać nawet miesiącami, zaś sami napastnicy korzystali z fizycznego dostępu do komputerów w sieci. Jednego wszyscy są pewni – na ten typ ataku szczególnie podatne są firmy korzystające z serwerowych produktów Microsoftu. Sony Pictures zgubiła najwyraźniej tak lubiana przez korporacje homogeniczność ich sieci. Gdyby napastnicy trafili na heterogeniczną sieć, łączącą węzły o różnorodnych systemach operacyjnych, z izolowanymi usługami sieciowymi, byłoby im znacznie trudniej

Podejrzany

Napastnicy przedstawili się jedynie pseudonimem „Guardians of Peace”, a w próbkach szkodnika znaleziono na sztywno zakodowane adresy IP serwerów z Włoch, Polski, Singapuru, Tajlandii, Boliwii i Cypru. To jednak o niczym nie świadczy – adresy należały najprawdopodobniej do wcześniej przejętych systemów, wykorzystanych jako VPN-y czy proxy. Bardziej interesujące są fragmenty komentarzy w języku koreańskim, znalezione na systemach wykorzystanych do kompilacji malware i spore podobieństwo ataku na Sony z atakiem, jaki w zeszłym roku dotknął kilka dużych firm z Korei Południowej.

FBI nie zawahało się więc wskazać właśnie na Koreę Północną, a dokładniej na Biuro 121 – jednostkę armii północnokoreańskiej, odpowiedzialnej za cyberwojnę. W zubożałym, praktycznie odizolowanym od reszty świata kraju, wobec którego wstrzemięźliwość okazuje nawet chiński sojusznik, powstała jedna z najlepszych na świecie rządowych grup hakerskich, wykorzystywanych przede wszystkim do aktów szpiegostwa i sabotażu wobec południowego sąsiada – ale nie tylko.

Reporterzy Reutersa mieli okazję porozmawiać z Jang Se-yulem, niedoszłym członkiem tej grupy, który studiował informatykę na wojskowej uczelni w Phenianie, a następnie zdołał zbiec na południe. Według niego, Biuro 121 liczy 1800 cyberwojowników, rekrutowanych spośród najlepszych absolwentów zamkniętej przed zwykłymi Koreańczykami szkoły. Wybór do tej grupy uważany jest za najwyższe wyróżnienie. Elitarni hakerzy mają dostęp do wszystkiego, czego mogą potrzebować, żyją w relatywnym luksusie. Nierzadko pod zmienionymi tożsamościami wyjeżdżają za granicę, by tam, oficjalnie jako przedsiębiorcy, zajmować się szpiegostwem na rzecz swojego kraju.

Motyw

Jeśli faktycznie to północnokoreańscy hakerzy zaatakowali Sony Pictures, to nie zrobili tego dla zabawy. Można powiedzieć, że ten znany producent filmów sam na siebie sprowadził kłopoty. Chodzi najprawdopodobniej o film „The Interview”, amerykańską komedię w reżyserii Evana Goldberga i Setha Rogena, którego producentem jest Columbia Pictures, studio będące własnością Sony. Film ten mówi o parze dziennikarzy mających przeprowadzić wywiad z przywódcą Korei Północnej Kim Jong-Unem – i którzy zostają zaangażowani przez CIA do jego zabicia.

Producenci filmu do sprawy podeszli lekko, żartując, że mają nadzieję, że film spodoba się Kim Jong-Umowi. W Korei Północnej żart najwyraźniej się jednak nie spodobał. W czerwcu tego roku koreańska agencja prasowa opublikowała komunikat, w którym film został potępiony, a stojącym za nim ludziom obiecano srogą i bezlitosną zemstę, jeśli komedia trafi do kin. Rzecznik północnokoreańskiego rządu miał stwierdzić, że produkcja filmu przedstawiającego zamach na najwyższego przywódcę tego kraju jest bezczelnym aktem terroryzmu i wojny, który nie będzie tolerowany. Wkrótce po tym ostrzeżenie takie powtórzył ambasador Korei Północnej w ONZ, żądając od USA zakazania wydania filmu.

Sony Pictures niewiele sobie z gróźb robiło, przesunęło jedynie datę kinowej premiery „The Interview” z sierpnia na grudzień. Nawet teraz, po włamaniu, nie zamierza zrezygnować z premiery. Czy użycie cyberbroni będzie najgorszą karą dla niepokornego producenta? Nie od dziś wiadomo, że północnokoreańskie służby wywiadowcze nie boją się pobrudzić sobie rąk też w bardziej klasyczny sposób.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.