ФБР: компанию Sony атаковали хакеры из Северной Кореи

в 13:01, , рубрики: cybercrime, destover, sony, Блог компании ESET NOD32, информационная безопасность

Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.

Первые заявления о причастности хакеров из Северной Кореи наделали много шума в СМИ и не выглядели убедительными. Они исходили от руководителей компании FireEye, которая занималась расследованием этого инцидента совместно с ФБР. Однако, вчера ФБР опубликовали пресс-релиз, в котором дали понять, что к атаке на Sony действительно причастны хакеры из этой страны, кроме этого, кибератака относится к типу state-sponsored, т. е. осуществлялась хакерами, работающими на правительство или связанные с ним гос. организации. Некоторые из этих данных также были подтверждены известной американской компанией CrowdStrike.

Украденные у Sony фильмы и другая информация, в частности, данные сотрудников компании, были выложены в открытый доступ. Однако, компания предприняла быстрые шаги, чтобы зачистить множество таких ресурсов. Некоторые архивы с информацией успели оказаться в распоряжении krebonsecurity.

Вредоносная программа, которая использовалась в кибератаке, специализируется на полном уничтожении данных жестких дисков компьютеров и похожа на аналогичное по функциям вредоносное ПО под названием Wiper/Shamoon. В прошлом году Wiper использовался для кибератак на организации Южной Кореи.

ФБР: компанию Sony атаковали хакеры из Северной Кореи - 1
Рис. Один из исполняемых файлов вредоносной программы на VirusTotal имеет высокий показатель выявления.

Из отчета ФБР.

As a result of our investigation, and in close collaboration with other U.S. government departments and agencies, the FBI now has enough information to conclude that the North Korean government is responsible for these actions. While the need to protect sensitive sources and methods precludes us from sharing all of this information, our conclusion is based, in part, on the following:

  • Technical analysis of the data deletion malware used in this attack revealed links to other malware that the FBI knows North Korean actors previously developed. For example, there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks.
  • The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.
  • Separately, the tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks and media outlets, which was carried out by North Korea.

В результате расследования [этого инцидента], которое было выполнено в сотрудничестве с правительственными организациями США, у ФБР имеется достаточное количество информации для заключения того факта, что правительство Северной Кореи ответственно за выполнение этих действий [кибератака]. Пока мы не можем опубликовать полную информацию по данному расследованию из-за необходимости защиты наших источников, однако, наши выводы основаны на следующей информации:

  • Технический анализ вредоносной программы, которая использовалась в этой атаке для уничтожения данных жестких дисков, показывает ее сходство с другим вредоносным ПО, которое, по данным ФБР, разрабатывалось лицами из Северной Кореи.
  • ФБР также установлено значительное сходство инфраструктуры атакующих, которая использовалась в этой кибератаке, с другой, которая использовалась для кибератак на правительственные организации США и принадлежит Северной Корее. Например, ФБР установило, что некоторые IP-адреса, которые принадлежат инфраструктуре Северной Корее взаимодействовали с компьютерами, которые имеют IP-адреса, жестко зашитые (hardcoded) в код вредоносной программы [Destover].
  • Программные инструменты, которые использовались в атаке на Sony, имеют схожие черты с другими инструментами, которые использовались в кибератаках на банки и медиа-ресурсы Южной Кореи в марте прошлого года. Эти атаки осуществлялись из Северной Кореи.

Некоторая дополнительная информация содержится в репорте krebsonsecurity.

Автор: esetnod32

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js