热门关键词:

索尼影业遭骇北朝鲜干的?资安专家对FBI的6个质疑

发布于2018-02-13 04:55:03
发布于2018-02-13 04:55:03,资讯索尼影业遭骇北朝鲜干的?资安专家对FBI的6个质疑,最新消息报道,手机发烧友娱乐新闻

美国联邦调查局(FBI)调查索尼影业遭骇事件,认定是由北朝鲜政府幕后主导。

索尼影业在11月24日传出遭到骇客组织#GoP(Guardians of Peace,和平守护者)入侵,虽然美国联邦调查局(FBI)已经对外公布调查结果,证实是北朝鲜政府在幕后主导此次攻击事件。但是,陆续有许多资安专家出面质疑FBI的调查结果,甚至于,资安传奇芬安全首席资安研究长Mikko Hypponen(米戈希伯能)日前来台时,更直指该案的恶意程式样本充满美国人假装讲烂英文的奇怪用语,不像是北朝鲜骇客所为。而之后,也陆续有许多资安公司提出对FBI调查结果的存疑。

索尼影业遭骇,外泄资料超过1.5TB

索尼影业(Sony Picture)推出的喜剧片《名嘴出任务》“The Interview”上映与否一波三折,原本索尼影业迫于骇客威胁,加上美国连锁电影院3千多家都害怕有后续的恐怖攻击,决定不在耶诞档期上映该片;但美国总统奥巴马认为,索尼影业对骇客妥协将有害言论自由与艺术表达。所以,索尼影业在美国政府的支持下,最终,在全美300多家独立电影院,以及YouTube Movies、Google Play、微软的Xbox Video和电影官网www.seetheinterview.com等管道,正式播映《名嘴出任务》。

索尼影业遭骇后,不仅有前任与现任47,000多名员工的个资隐私和薪资资料遭到外泄,许多明星的联络方式、合作契约和化名,相关电影的合作契约、谈判内容,甚至是,还没有上映但已经完成拍摄与剪辑的影片,也都遭到外泄。因为受骇事件牵涉范围很广,FBI在事发1星期后介入调查,并在事发不到1个月内公布调查结果。而外泄资料容量据推估,至少超过1.5TB之多。

整起攻击事件在爆发初期,就有媒体和美国政府传出是由北朝鲜政府主导,但是,北朝鲜政府也曾对外界的指控发表声明。北朝鲜政府对外表示:“这起攻击事件的行为是正义的,但并不是由北朝鲜政府主导。”只不过,北朝鲜政府的声明并未被美国政府所接受。

FBI介入调查,认定北朝鲜政府主导攻击事件

时间回到11月24日感恩节前夕,骇客组织#GoP(Guardians of Peace,和平守护者)在美国索尼影业(Sony Picture)员工电脑上显示,该公司的机敏资料已经被该组织掌控,并要求索尼影业员工要乖乖配合其要求。随着骇客组织释出越来越多的资料,也证明骇客已经长期且高度掌控索尼影业的网络环境,才能够在最终的时候,一举瘫痪索尼影业的员工电脑,甚至删除并毁损员工电脑中的资料,迫使许多人必须回复到最早期的纸本作业形式。

骇客在11月29日将索尼影业还没有公开发行的电影档案,放在共享网站供人下载;尔后,在12月1日和2日,外泄包括员工和高阶主管的个资和薪资资料,甚至于,FBI在介入调查后更指出,攻击索尼影业的恶意程式是具有破坏性和毁灭性的恶意程式。

FBI在新闻稿中提出三点推论来说明,认定是北朝鲜政府主导的原因。首先,FBI表示,从技术面分析这次攻击索尼影业的恶意程式,和FBI以往掌握到由北朝鲜开发的恶意程式有类似点,例如,程式习惯写几行、使用哪一种加密算法、如何删除资料的方式,以及如何损害网络环境等作法,都有极高的相似之处。

再者,FBI先前也曾发现多起由北朝鲜政府发动攻击美国关键基础建设的攻击手法和网络活动,彼此之间有显著重叠,甚至于,在研究恶意程式时还发现,有一些IP地址是先前北朝鲜攻击美国关键基础建设恶意程式中曾经使用过的,或者是彼此之间具有关连性。

第三点,FBI更发现,此次攻击索尼影业的恶意程式和2013年韩国3月20日发生银行电视台4万2千多台电脑的硬盘同时毁损、无法开机使用的攻击手法相似。综合上述三点,加上索尼影业即将推出的刺杀北朝鲜领导人金正恩的喜剧,更加肯定北朝鲜政府是攻击事件的幕后主使者。

根据美国政府官方资料,有2种可疑的恶意程式作怪

此次只有一家资安公司Fireeye协同FBI调查,该公司台湾技术顾问林秉忠表示,基于保护客户资料及进入司法调查阶段之故,无法对外回应。先前传出索尼影业要求许多资安公司噤声,不要对该起受骇事件发表想法或臆测,但陆续仍有一些资安专家,对该起受骇事件的不合理处提出他们的怀疑。

索尼影业遭骇后,包括趋势科技、赛门铁克、卡巴斯基实验室,与Blue Coat等资安业者都分析了FBI所提及的Destover恶意程式,发现该恶意程式专门锁定索尼影业且熟悉其内部电脑架构。

根据美国FBI“#A-000044-mw”的备忘录,便描述了该恶意程式记录Sony内部主机名称与IP地址的关系,并含有许多可进入共享网络的使用者名称与密码;当恶意程式渗透到索尼影业的内部网络之后,恶意程式就会开始运作,不仅会删除使用者档案(包括本地端和网络磁盘档案,以及开机磁区(MBR)外,该恶意程式还有一个“Hacked By #GOP”BMP桌布档,与索尼影业被骇时的电脑画面一样。

例如,美国趋势科技侦测的恶意程式样本为BKDR_WIPALL,发现样本中有一组加密的使用者名称和密码,可用来登入共享网络。一旦登入,恶意软件会尝试被赋予最高的完全存取权限,借此来存取系统根目录;另外,在进行真正的恶意行为前,会先休眠10分钟(或是休眠600,000毫秒)。而这个恶意程式除了会删除使用者档案外,也会停止Microsoft Exchange Information Store服务。特别的是,当恶意程式执行完任务后,恶意软件会再休眠两个小时,接着强制系统重新开机;之后,也会删除在固定式和网络磁盘机内的所有档案(格式 *.*),并覆写实体磁盘机。

美国趋势科技发现了多个WIPALL恶意程式的新变种,除具有类似攻击手法外,攻击手法细节也有些微不同。像是,变种恶意程式BKDR_WIPALL.C就会先检查受感染电脑是否为64位元,如果是64位元系统的电脑上执行,该恶意程式会植入kph.sys(KProcessHacker驱动程式)和其元件ams.exe(侦测为BKDR64_WIPALL.F)。另外一个新变种BKDR64_WIPALL.F,则会置换McAfee防毒软件即时扫描程式,关闭McAfee防毒软件功能。

不过,这个恶意程式究竟是如何渗透到索尼影业的内网,是外界推测的由索尼影业的内贼和外面骇客里应外合导致的结果,还是,一般APT攻击最常使用者的社交工程邮件,为何恶意程式会关闭McAfee防毒软件功能,还是得等索尼影业依美国上市公司法令规范,揭露更详细完整的调查结果后,才能得知攻击细节。

另外,US-CERT也对恶意程式SMB Worm Tool发布资安警告,有一个新蠕虫会利用微软Windows Server的服务器讯息区(Server Message Block,SMB)的网络档案共用通讯协定,利用SMB可以存取远端服务器上的档案或其他资源的特性,暴力破解微软服务器的认证机制。

而这个蠕虫一旦破解认证机制后,就可以透过445通讯埠,利用蠕虫复制的特性,经由内网的方式,将蠕虫复制到其他内网电脑,成功植入到其他台电脑后,就可以做到每5分钟与骇客的控制与命令服务器(Command and Control Server)连线,回传蠕虫在内网电脑中所搜集到的资料,并接受骇客新的指令。

根据US-CERT公布的内容,这个恶意程式对企业带来的威胁包括:连线回控制服务器并回传资料,以及猜中主机密码后,可以和SMB主机连线,在新的被感染主机上,共享和复制遭外传的机敏文件。这个蠕虫还具有后门程式、键盘侧录以及毁损电脑硬盘等功能。

质疑1:像是美国人模仿外国人使用的烂英文

Mikko Hypponen来台时也表示,因为芬兰在国际政治上,不隶属欧盟(EU),也没有加入北大西洋公约组织(NATO),也不受美国、英国甚至是中国的影响,这种政治上的中立态度,也让该公司在做资安事件的调查和判断时,不受其他因素影响。他当时便说,根据资安团队检视疑似入侵索尼影业的恶意程式样本发现,里面所使用的英文感觉像是不合逻辑的英文,但若从语意使用进一步分析可以发现,该恶意程式中所使用的英文,其实更像是美国人故意模仿外国人,说的一口烂英文(Bad Engliash)的英文用法。因为有这样的质疑,却发现美国FBI,直接一口咬定就是北朝鲜政府主导该次攻击事件,FBI这样的调查态度,反而起人疑窦。

质疑2:恶意程式中的韩文,并非是北朝鲜所使用的当地方言

有同样怀疑的不只是Mikko H. Hypponen,曾经在韩国工作5年的CloudFlare首席资安研究员Marc Rogers,他也在部落格中发文表示,从恶意程式中看不到常见“韩式英文”的错误,有一些IT专业名词的使用,也和韩国人所使用的用法不同,Marc Rogers也说,北朝鲜并没有使用传统韩文而是使用地方方言,这也是为何韩国很难和北朝鲜难民沟通的原因,但在该恶意程式的英文用法及韩文文字中,却看不出这样的差异。

质疑3:FBI刻意忽略恶意程式内中日文字体

不过,一名无法具名的资安专家提出质疑,首先,检视由美国FBI提供的恶意程式样本,发现恶意程式的内容有“马鹿”的中文或日文字样,加上还没经过详细调查时,就已经锁定是北朝鲜政府在幕后主导该起攻击事件。该名资安专家表示,这样的态度和以往美国FBI的调查态度有极大的不同,加上有感觉FBI刻意忽略该恶意程式中所出现的文字,都让人对调查结果产生怀疑。

质疑4:内贼的疑虑完全被忽略

资安公司Blue Coat分析恶意程式时,则发现有一个超过1万个索尼影业内部主机名称和IP地址对应的纯文字档案,这也意味着,骇客对于索尼影业内部网络架构十分了解,是一个百分之百的针对式攻击(Target Attack)事件。骇客对索尼影业内部网络架构掌握度之高,也传出可能有内贼呼应,但这样的可能性虽然不被FBI认可。

质疑5:找不到US-CERT警告的SMB蠕虫

另外,US-CERT的资安公告,间接证明这个SMB蠕虫,就是外泄索尼影业的恶意程式,但该名无法具名的资安专家表示,从网络以及不同骇客圈中打听,发现没有人有取得这个SMB恶意程式样本。他质疑,若不是担心该恶意程式会造成更大危害,US-CERT不会对外发出警告,但在网络上,却没有听到有人取得相关的恶意程式样本,这是不合理的现象。

质疑6:有类似的攻击手法,不表示同一个组织所为

资安公司卡巴斯基分析恶意程式时发现,这个恶意程式和造成2013年韩国320事件电视台和银行网络中断的DarkSeoul(黑暗首尔)恶意程式手法类似,只不过,320事件发动的骇客组织是Whois,而索尼影业遭骇则是来自#GoP。

Mikko Hypponen表示,索尼影业前资讯长曾经对外表示,不需要在资安上投资太多,引发的风险总在可以承担的范围内。但是,他认为,从这次索尼影业受骇事件来看,良好的资安投资与防护措施,如何降低企业整体营运的风险,对于所有企业而言,都是优先任务之一。“资安已经是企业的必需品,而不是可有可无的奢侈品。”他说。

索尼影业(Sony Pictures)遭骇时间一览表
11月24 日 骇客组织GoP入侵索尼影业
11月25日 媒体报导索尼影受骇
11月28日 媒体传出是北朝鲜主导此事攻击事件
11月29日 索尼影业未公开发行的电影档案,出现在共享网站供人下载
12月1日 骇客公布的文件中,揭露索尼影业高阶主管的薪资
12月2日

骇客公布索尼影业前任和现任员工的详细个资和薪资资讯

FBI对外发布警告,有发现具有破坏性的恶意程式

12月5日

骇客发送威胁电子邮件给索尼影业员工

FBI证实,已经介入调查

12月6日 北朝鲜对外发表声明,攻击行动是正义的,但并非由北朝鲜主使
12月8日 媒体揭露FBI调查进度,认为骇客使用泰国曼谷五星级饭店的高速网络,在12月2日当天,将索尼影业员工电脑中的机密资料外泄到网络
12月16日 骇客以911恐怖攻击为例,要求索尼影业不得公开播映《名嘴出任务》
12月17日 传出美国官方认为是北朝鲜下令攻击索尼影业;美国连锁电影院业者表示,将不公开播映《名嘴出任务》
12月19日 美国联邦调查局正式发布官方调查结果,认为是北朝鲜发动此次攻击事件
12月20日 北朝鲜外交部否认发动该起攻击事件,要求和美国联合调查遭拒
12月22日 北朝鲜对外网络连线瘫痪,疑是美国政府报复行为,但包括美国、中国都不愿意表态
12月23日 北朝鲜网络恢复正常连线
12月25日 美国超过300家独立电影院,以及YouTube Movies、Google Play、微软的Xbox Video和电影官网www.seetheinterview.com等管道,正式播映《名嘴出任务》

资料来源:iThome整理,2014年12月

索尼影业遭到骇客组织#GoP(和平守护者)攻击,并以↑桌面图示对该公司员工发出警告。

隶属美国国土安全部的US-CERT,也发布资安警告,表示有一个SMB蠕虫导致一家大型娱乐公司资料外泄。但有资安专家表示,无法在网络上找到该恶意程式。

  • 赞助商广告