安全机构分析Destover攻击程序:索尼影业内部网络早就被摸透
索尼影业在11月24日遭到黑客入侵,导致内部网络及电脑全部停摆,除了影片和员工资料外泄外,并传出内部电脑资料全部遭删除。
介入调查的FBI随后紧急警告美国业界因留意可执行毁灭性的网络攻击的恶意程序,资深业者对该恶意程序研究发现,黑客在正式展开攻击的48小时前才编译执行程序,显示在攻击之前就已掌握目标对象的所有网络及锁定的目标机器。
包括趋势科技、赛门铁克、卡巴斯基实验室,与Blue Coat等资深业者都分析了FBI所提及的Destover恶意程序,发现该恶意程序专门锁定Sony Pictures,熟悉其内部电脑架构。
除了记录Sony内部主机名称与IP位址的关系,还含有许多可进入共享网络的使用者名称与密码。
当渗透到Sony网络之后,恶意程序就会开始运作,包括删除使用者的档案,删除近端或远端磁碟的档案还有用来开机的主启动磁区(MBR)。
此外,Destover中还有一个BMP桌布档的Hacked By #GOP画面与Sony被骇时所出现的电脑画面一致。
卡巴斯基实验室比较了Destover与其他毁灭性攻击的恶意程序,发现它与去年造成韩国电视台及银行内部网络中断的DarkSeoul或是与锁定中东国家基础建设的Shamoon病毒都可通过类似的途径回复资料。
Destover与DarkSeoul则都有黑客宣告画面(Hacked By...),只不过DarkSeoul宣称来自Whois组织,Destover则是#GOP。
特别的是,Destover与DarkSeoul都是在正式展开攻击的48小时前才编译执行程序,显示出他们不太可能在这么短的时间内以鱼叉式攻击攻陷大量使用者,比较像是在攻击之前就已掌握目标对象的所有网络。
相较之下Shamoon在编译程序与执行的间隔则为5天。
Blue Coat资深软件工程师Kiel Wadner分析取得的初步样本表示,样本里内含一个纯文字档,里面有超过10,000内部主机名称及IP位址的对应资料(mappings),这显示出攻击者早就已经做好网络侦察及渗透工作,并掌控了他们想要瞄准的目标机器。
甚至,黑客还将凭证程序码直接写在(hard coded)样本里面,再再显示攻击者事前做好了完善的准备,而且完完全全就是针对Sony Pictures而来。
截至目前为止,Sony Pictures以及介入调查的FBI都未曾公开说明这次的攻击事件,使得外界对该起事件绘声绘色,充满许多猜测。
首先是The Verge报导指出,可能是外聘员工为争取工作平等所做,而且公司内部有内应帮忙。
而近日国外各大媒体则纷纷将幕后指使者指向朝鲜政府,甚至Re/code于日前报导Sony影业即将正式宣布朝鲜主导了Destover攻击行动。
然而,除了朝鲜外交官已否认朝鲜政府与这起事件有关之外,Sony影业也否认该篇报导,表示仍在调查中,尚未确认攻击来源。
虽然朝鲜与Sony皆对媒体否认,但此一攻击行动的幕后指使者确实有许多指向朝鲜的原因。
一是朝鲜政府近来强力抗议Sony计画于圣诞节上映的喜剧片《名嘴出任务》(The Interview)描写了刺杀朝鲜领袖金正恩的情节,二是该恶意程序有些配置档案是以韩文撰写,三是它与去年造成韩国电视台及银行内部网络中断的DarkSeoul攻击有很多相似之处。
不过资深业者多数对该攻击事件与朝鲜的关系持保留看法,例如Blue Coat的Kiel Wadner表示,外界报导指出,朝鲜因为Sony Pictures讽刺金正恩的喜剧而受到攻击,我们并不做这个或那一个可能原因的臆测,但可以确认的是里面的确有韩文。
卡巴斯基实验室则表示,Destover、DarkSeoul或Shamoon内建了许多类似的功能与工具,意味着毁灭式的攻击行动有着类似的特性,但并不代表它们是来自于同一个集团,而且迄今仍无法确定上述任何恶意程序的首脑。
(编译自ITHOMETW)