ФБР: компанию Sony атаковали хакеры из Северной Кореи

    Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.

    Первые заявления о причастности хакеров из Северной Кореи наделали много шума в СМИ и не выглядели убедительными. Они исходили от руководителей компании FireEye, которая занималась расследованием этого инцидента совместно с ФБР. Однако, вчера ФБР опубликовали пресс-релиз, в котором дали понять, что к атаке на Sony действительно причастны хакеры из этой страны, кроме этого, кибератака относится к типу state-sponsored, т. е. осуществлялась хакерами, работающими на правительство или связанные с ним гос. организации. Некоторые из этих данных также были подтверждены известной американской компанией CrowdStrike.


    Украденные у Sony фильмы и другая информация, в частности, данные сотрудников компании, были выложены в открытый доступ. Однако, компания предприняла быстрые шаги, чтобы зачистить множество таких ресурсов. Некоторые архивы с информацией успели оказаться в распоряжении krebsonsecurity.

    Вредоносная программа, которая использовалась в кибератаке, специализируется на полном уничтожении данных жестких дисков компьютеров и похожа на аналогичное по функциям вредоносное ПО под названием Wiper/Shamoon. В прошлом году Wiper использовался для кибератак на организации Южной Кореи.


    Рис. Один из исполняемых файлов вредоносной программы на VirusTotal имеет высокий показатель выявления.

    Из отчета ФБР.

    As a result of our investigation, and in close collaboration with other U.S. government departments and agencies, the FBI now has enough information to conclude that the North Korean government is responsible for these actions. While the need to protect sensitive sources and methods precludes us from sharing all of this information, our conclusion is based, in part, on the following:
    • Technical analysis of the data deletion malware used in this attack revealed links to other malware that the FBI knows North Korean actors previously developed. For example, there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks.
    • The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.
    • Separately, the tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks and media outlets, which was carried out by North Korea.

    В результате расследования [этого инцидента], которое было выполнено в сотрудничестве с правительственными организациями США, у ФБР имеется достаточное количество информации для заключения того факта, что правительство Северной Кореи ответственно за выполнение этих действий [кибератака]. Пока мы не можем опубликовать полную информацию по данному расследованию из-за необходимости защиты наших источников, однако, наши выводы основаны на следующей информации:

    • Технический анализ вредоносной программы, которая использовалась в этой атаке для уничтожения данных жестких дисков, показывает ее сходство с другим вредоносным ПО, которое, по данным ФБР, разрабатывалось лицами из Северной Кореи.
    • ФБР также установлено значительное сходство инфраструктуры атакующих, которая использовалась в этой кибератаке, с другой, которая использовалась для кибератак на правительственные организации США и принадлежит Северной Корее. Например, ФБР установило, что некоторые IP-адреса, которые принадлежат инфраструктуре Северной Корее взаимодействовали с компьютерами, которые имеют IP-адреса, жестко зашитые (hardcoded) в код вредоносной программы [Destover].
    • Программные инструменты, которые использовались в атаке на Sony, имеют схожие черты с другими инструментами, которые использовались в кибератаках на банки и медиа-ресурсы Южной Кореи в марте прошлого года. Эти атаки осуществлялись из Северной Кореи.


    Некоторая дополнительная информация содержится в репорте krebsonsecurity.
    ESET NOD32
    Компания
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 12

      +7
      Имхо, это статья для Geektimes
      Ну или каких-то тех. деталей добавьте :)
      +4
      Интересует, где эти хакеры обучались.

      Может это просто повод начать атаку на КНДР?
        –11
        А при чем здесь КНДР? КНДР это Китайская народная демократическая республика, а в статье речь идет о Северной Корее.
          +7
          Корейская Народная Демократическая Республика.
          Китайская — КНР.
            +1
            Понял, извиняюсь, ошибочка вышла.
            +2
            Дубль
            КНДР — корейская народно-демократическая республика.
            КНР — китайская народная республика.
            –2
            Конечно повод! Любые хакерские атаки + заявления ФБР — это повод запада напасть на страну. Вы не знали? Они так уже 345.74 года делают.

            Ну а здесь конечно же совсем все очевидно. В мире нет лучшей и уязвимей цели чем милитаризованная страна с одной из самых боеспособных армий и с ядерным оружием которая последние Н-десятилетий грозила взорвать любое неугодное ей государство, при этом не имея никаких сверх ценных ресурсов, только голодающий народ. Разве можно найти еще более лакомый кусочек для деребана западом?

            Конечно же это все козни запада, КНДР — жертва заговора и никогда не давала повода подумать о себе в негативном ключе. Все очевидно.
          • НЛО прилетело и опубликовало эту надпись здесь
              +6
              Серверная Корея им не по зубам, последний оплот народной демократии. :)
              0
              А вот в Украине всерьез надумали собрать профессиональную команду хакеров под государственным крылом. Дадут фору и корейским коллегам. Я просто не знаю как это иначе назвать (ссылка только на новость, так как с сайта уже удалили).

              Ну просто курям на смех, посмеялся от души. Главное видно что зарплата растет стабильно, постоянно и прогнозируемо. Человек может планировать свои расходы на долго, минус только в том, что зарплата растет от 100 до 200 евро.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое