Włamanie do Sony Pictures to kara za jedną głupią komedię? Biuro 121 jest do tego zdolne

Włamanie do korporacyjnej sieci Sony Pictures byłonajprawdopodobniej największym tego typu incydentem w historiibezpieczeństwa IT. Zaawansowany robak, wobec którego zabezpieczeniaWindows okazały się bezwartościowe, pozwolić miał napastnikom naprzejęcie nawet stu terabajtów danych, w tym wielu dokumentów,które nigdy nie powinny ujrzeć światła dziennego. Dyskusje natemat tożsamości napastników wciąż trwają, ale coraz więcejosób wskazuje na enigmatyczne Biuro 121, elitarną jednostkępółnocnokoreańskich hakerów.

Prowadzący śledztwo w sprawie włamania agenci FBI opublikowaliniedawno memorandum poświęcone technice ataku. Wykorzystane przeznapastników malware, oznaczone dziś jako „Troj/Destover-C”miało wykorzystywać mechanizmy zdalnego zarządzania iwspółdzielenia plików w sieciach Microsoft Windows do zarażaniakolejnych komputerów, wyłączania usług sieciowych czyrestartowania komputerów, podmieniając kluczowe komponentyzainfekowanego systemu. Dostarczany najpewniej w wykonywalnymzałączniku szkodnik instalował własną usługę systemową iudostępniał w sieci lokalnej katalog C:\WINDOWS z pełnymiuprawnieniami do zapisu.

Poprzez powłokę Windows Management Interface malwarekomunikowało się z innymi komputerami podłączanymi do sieci,uruchamiając na nich kod ze swojego udziału sieciowego i zarażającje w ten sposób, a także utrzymywało kontakt z zewnętrznymiadresami IP w Japonii, prawdopodobnie związanymi z sieciąkorporacyjną Sony. Co ciekawe, oglądany przez pracowników naekranach ich komputerów komunikat o ataku też pochodził z sieci –odpowiadał za niego podrobiony webserwer IIS (uruchomiony jako plikiissrv.exe), odpowiadający na porcie 80 jak każdy normalny serwerWWW.

W pewnym momencie malware przechodziło do ataku, „odpalając”ładunek ukryty w pliku igfxtrayex.exe.Tworzył on cztery kopie siebie, które uruchamiane były z różnymiargumentami, wywołując poszczególne zakodowane formy ataku. M.in.wyłączane były usługi archiwizacji serwerów Exchange, odłączanebazy tego serwera poczty i wyłączana cała usługa pocztowa.Szkodnik kontaktował się następnie ze swoimi serwerami dowodzeniai kontroli. Co ciekawe – jeden z nich znajdował się w Polsce. Wtym samym czasie rozpoczynało się kasowanie zawartości dyskówsektor po sektorze. Windows następnie przechodziło w stan uśpieniana dwie godziny, a potem restartowało się. Dysk jednak był jużwyczyszczony do zera. Jak twierdzą badacze, możliwe to było dziękiwykorzystaniu sterownika dysku RawDisk firmy ElDos, zamaskowanegoprzez malware jako sterownik USB 3.0.

FBIniestety nie tłumaczy, w jaki sposób szkodnik zdołał wydobyć takogromne ilości danych z Sony Pictures, eksperci podejrzewająjednak, że etap ich ekstrakcji mógł trwać nawet miesiącami, zaśsami napastnicy korzystali z fizycznego dostępu do komputerów wsieci. Jednego wszyscy są pewni – na ten typ ataku szczególniepodatne są firmy korzystające z serwerowych produktów Microsoftu.Sony Pictures zgubiła najwyraźniej tak lubiana przez korporacjehomogeniczność ich sieci. Gdyby napastnicy trafili naheterogeniczną sieć, łączącą węzły o różnorodnych systemachoperacyjnych, z izolowanymi usługami sieciowymi, byłoby im znacznietrudniej

Napastnicyprzedstawili się jedynie pseudonimem „Guardians of Peace”, a wpróbkach szkodnika znaleziono na sztywno zakodowane adresy IPserwerów z Włoch, Polski, Singapuru, Tajlandii, Boliwii i Cypru. Tojednak o niczym nie świadczy – adresy należałynajprawdopodobniej do wcześniej przejętych systemów,wykorzystanych jako VPN-y czy proxy. Bardziej interesujące sąfragmenty komentarzy w języku koreańskim, znalezione na systemachwykorzystanych do kompilacji malware i spore podobieństwo ataku naSony z atakiem, jaki w zeszłym roku dotknął kilka dużych firm zKorei Południowej.

FBInie zawahało się więc wskazać właśnie na Koreę Północną, adokładniej na Biuro 121 – jednostkę armii północnokoreańskiej,odpowiedzialnej za cyberwojnę. W zubożałym, praktycznieodizolowanym od reszty świata kraju, wobec którego wstrzemięźliwośćokazuje nawet chiński sojusznik, powstała jedna z najlepszych naświecie rządowych grup hakerskich, wykorzystywanych przedewszystkim do aktów szpiegostwa i sabotażu wobec południowegosąsiada – ale nie tylko.

ReporterzyReutersa mieli okazję porozmawiać z Jang Se-yulem, niedoszłymczłonkiem tej grupy, który studiował informatykę na wojskowejuczelni w Phenianie, a następnie zdołał zbiec na południe. Wedługniego, Biuro 121 liczy 1800 cyberwojowników, rekrutowanych spośródnajlepszych absolwentów zamkniętej przed zwykłymi Koreańczykamiszkoły. Wybór do tej grupy uważany jest za najwyższe wyróżnienie.Elitarni hakerzy mają dostęp do wszystkiego, czego mogąpotrzebować, żyją w relatywnym luksusie. Nierzadko pod zmienionymitożsamościami wyjeżdżają za granicę, by tam, oficjalnie jakoprzedsiębiorcy, zajmować się szpiegostwem na rzecz swojego kraju.

Jeślifaktycznie to północnokoreańscy hakerzy zaatakowali Sony Pictures,to nie zrobili tego dla zabawy. Można powiedzieć, że ten znanyproducent filmów sam na siebie sprowadził kłopoty. Chodzinajprawdopodobniej o film „The Interview”, amerykańską komedięw reżyserii Evana Goldberga i Setha Rogena, którego producentemjest Columbia Pictures, studio będące własnością Sony. Film tenmówi o parze dziennikarzy mających przeprowadzić wywiad zprzywódcą Korei Północnej Kim Jong-Unem – i którzy zostajązaangażowani przez CIA do jego zabicia.

Producencifilmu do sprawy podeszli lekko, żartując, że mają nadzieję, żefilm spodoba się Kim Jong-Umowi. W Korei Północnej żartnajwyraźniej się jednak nie spodobał. W czerwcu tego rokukoreańska agencja prasowa opublikowała komunikat, w którym filmzostał potępiony, a stojącym za nim ludziom obiecano srogą ibezlitosną zemstę, jeśli komedia trafi do kin. Rzecznikpółnocnokoreańskiego rządu miał stwierdzić, że produkcja filmuprzedstawiającego zamach na najwyższego przywódcę tego kraju jestbezczelnym aktem terroryzmu i wojny, który nie będzie tolerowany.Wkrótce po tym ostrzeżenie takie powtórzył ambasador KoreiPółnocnej w ONZ, żądając od USA zakazania wydania filmu.

SonyPictures niewiele sobie z gróźb robiło, przesunęło jedynie datękinowej premiery „The Interview” z sierpnia na grudzień. Nawetteraz, po włamaniu, nie zamierza zrezygnować z premiery. Czy użyciecyberbroni będzie najgorszą karą dla niepokornego producenta? Nieod dziś wiadomo, że północnokoreańskie służby wywiadowcze nieboją się pobrudzić sobie rąk też w bardziej klasyczny sposób.