ФБР: компанию Sony атаковали хакеры из Северной Кореи
- воскресенье, 21 декабря 2014 г. в 02:11:26
geektimes
http://habrahabr.ru/company/eset/blog/244853/
Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.
Украденные у Sony фильмы и другая информация, в частности, данные сотрудников компании, были выложены в открытый доступ. Однако, компания предприняла быстрые шаги, чтобы зачистить множество таких ресурсов. Некоторые архивы с информацией успели оказаться в распоряжении krebonsecurity.
Вредоносная программа, которая использовалась в кибератаке, специализируется на полном уничтожении данных жестких дисков компьютеров и похожа на аналогичное по функциям вредоносное ПО под названием Wiper/Shamoon. В прошлом году Wiper использовался для кибератак на организации Южной Кореи.
Рис. Один из исполняемых файлов вредоносной программы на VirusTotal имеет высокий показатель выявления.
Из отчета ФБР.
В результате расследования [этого инцидента], которое было выполнено в сотрудничестве с правительственными организациями США, у ФБР имеется достаточное количество информации для заключения того факта, что правительство Северной Кореи ответственно за выполнение этих действий [кибератака]. Пока мы не можем опубликовать полную информацию по данному расследованию из-за необходимости защиты наших источников, однако, наши выводы основаны на следующей информации:
Некоторая дополнительная информация содержится в репорте krebsonsecurity.
Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.
FBI National Press Office statement on Sony Pictures investigation: http://t.co/iGFpaBX1dq
— FBI (@FBI) 19 декабря 2014CrowdStrike says FBI conclusion matches own findings. Sony malware matches Silent Chollima (North Korean actor) in attacks tracing to '06
— Nicole Perlroth (@nicoleperlroth) 19 декабря 2014Украденные у Sony фильмы и другая информация, в частности, данные сотрудников компании, были выложены в открытый доступ. Однако, компания предприняла быстрые шаги, чтобы зачистить множество таких ресурсов. Некоторые архивы с информацией успели оказаться в распоряжении krebonsecurity.
Вредоносная программа, которая использовалась в кибератаке, специализируется на полном уничтожении данных жестких дисков компьютеров и похожа на аналогичное по функциям вредоносное ПО под названием Wiper/Shamoon. В прошлом году Wiper использовался для кибератак на организации Южной Кореи.
Рис. Один из исполняемых файлов вредоносной программы на VirusTotal имеет высокий показатель выявления.
Из отчета ФБР.
As a result of our investigation, and in close collaboration with other U.S. government departments and agencies, the FBI now has enough information to conclude that the North Korean government is responsible for these actions. While the need to protect sensitive sources and methods precludes us from sharing all of this information, our conclusion is based, in part, on the following:
- Technical analysis of the data deletion malware used in this attack revealed links to other malware that the FBI knows North Korean actors previously developed. For example, there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks.
- The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.
- Separately, the tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks and media outlets, which was carried out by North Korea.
В результате расследования [этого инцидента], которое было выполнено в сотрудничестве с правительственными организациями США, у ФБР имеется достаточное количество информации для заключения того факта, что правительство Северной Кореи ответственно за выполнение этих действий [кибератака]. Пока мы не можем опубликовать полную информацию по данному расследованию из-за необходимости защиты наших источников, однако, наши выводы основаны на следующей информации:
- Технический анализ вредоносной программы, которая использовалась в этой атаке для уничтожения данных жестких дисков, показывает ее сходство с другим вредоносным ПО, которое, по данным ФБР, разрабатывалось лицами из Северной Кореи.
- ФБР также установлено значительное сходство инфраструктуры атакующих, которая использовалась в этой кибератаке, с другой, которая использовалась для кибератак на правительственные организации США и принадлежит Северной Корее. Например, ФБР установило, что некоторые IP-адреса, которые принадлежат инфраструктуре Северной Корее взаимодействовали с компьютерами, которые имеют IP-адреса, жестко зашитые (hardcoded) в код вредоносной программы [Destover].
- Программные инструменты, которые использовались в атаке на Sony, имеют схожие черты с другими инструментами, которые использовались в кибератаках на банки и медиа-ресурсы Южной Кореи в марте прошлого года. Эти атаки осуществлялись из Северной Кореи.
FBI blames North Korea for Sony hack http://t.co/ONY8Sc92Dq < I look at some stuff the FBI doesn't discuss, NK's cyber skills, & takeaways
— briankrebs (@briankrebs) 19 декабря 2014Некоторая дополнительная информация содержится в репорте krebsonsecurity.