Взлом в Sony Pictures произошел накануне новогодних праздников. Если принять за правду наиболее популярную версию, то весь этот кошмар случился из-за комедийной ленты «Интервью», в которой сюжет строится вокруг пары журналистов, собирающихся на эксклюзивное интервью с северокорейским лидером Ким Чен Ыном, и возникшего у них впоследствии плана убийства диктатора. Это звучит достаточно дико и однозначно вызывает желание разобраться: что же на самом деле произошло?
Очевидно, компания Sony так ничему и не научилась со времен предыдущего взлома PlayStation Network, отправившего все подразделение компании в кому на несколько месяцев в 2011 году, и теперь она снова в центре внимания из-за массовой и унизительной кибератаки. Вот приблизительная хроника событий.
Вначале Sony Pictures Entertainment становится жертвой группы хакеров, которую все считают связанной с Корейской Народно-Демократической Республикой. После этого в произвольном порядке злоумышленники сливают в Сеть украденную информацию, в том числе киноленты, сценарии новых фильмов, персональную информацию о здоровье и личной жизни сотрудников и внутреннюю почтовую переписку. Наконец, хакеры обещают атаковать кинотеатры во время выхода фильма «Интервью». Поэтому одна из крупнейших сетей кинотеатров в США Regal Cinemas решает отменить показ фильма, а сама Sony — отложить дату релиза.
Самое популярное мнение — за этим взломом стоит Северная Корея. Однако есть также и сомневающиеся, и это совсем не удивительно. Дело в том, что вся история выглядит нетипично для операции государственного уровня. Чаще всего работающие на ту или иную державу хакеры действуют в режиме максимальной секретности. В большинстве случаев специалист может лишь предположить, что вот эту целевую атаку или кампанию, вероятно, спонсировала вот эта страна. Но злоумышленник все равно стремится не позволить никому определить заказчика со 100-процентной уверенностью.
В случае с Sony злоумышленники поместили на экраны зараженных ПК довольно безвкусные и смешные картинки со скелетами. Хотя большинство APT-групп не демонстрируют свое присутствие в зараженной сети, эти «Хранители мира» (Guardians of Peace) уже выдвинули ряд серьезных угроз по отношению к Sony, киноманам и американской публике.
Взлом Sony и её отказ от выпуска фильма из-за угроз очень плохой знак. Это 1 случай, когда жертва пошла на поводу у кибер-вымогателя
— Евгений Касперский (@e_kaspersky_ru) December 18, 2014
Главный вопрос в том, кто же руководит атаками. Северная Корея? Американские издания, в том числе Threatpost, следуют заявленному курсу правительства США и сообщают, что Северная Корея однозначна замешана. Белый дом пока еще не раскрыл все детали, хотя и собирается скоро это сделать в официальном заявлении.
С другой стороны, в Wired утверждают, что пока слишком мало доказательств, чтобы считать Северную Корею организатором этой атаки. В издании опираются на сообщения из Sony и ФБР об отсутствии доказательств, подтверждающих связь между хакерами и Северной Кореей. Зачем вообще иностранному правительству не просто публично, а с большой шумихой атаковать зарубежную корпорацию по совершенно абсурдному поводу — из-за выхода какой-то комедии?
При желании причины можно найти. Некоторые специалисты считают, что Северная Корея могла организовать все это исключительно для того, чтобы продемонстрировать свою способность совершать подобные атаки.
Стали известны подробности о той гадости, благодаря которой Sony Pictures растеряла кучу данных: http://t.co/G5mK5Ka9xn
— Kaspersky (@Kaspersky_ru) December 17, 2014
«Дело не в фильме и даже не в самой Sony, — считает CEO компании Immunity и бывший специалист NSA Дейв Эйтел. — Когда ты разрабатываешь программу атомного вооружения, то рано или поздно должен взорвать хотя бы одну боеголовку, чтобы показать свою мощь другим странам. То же касается и кибероружия».
Согласно сообщению Threatpost, Эйтел был одним из первых специалистов, публично предположивших, что за атаками на Sony стоит Северная Корея. Он же связал этот случай с предполагаемым участием Ирана в атаках Shamoon, уничтоживших 30 тыс. рабочих станций на нефтеперерабатывающем заводе в Саудовской Аравии в 2012 году.
«Иран сделал практически то же самое в Саудовской Аравии — продемонстрировал свою способность и готовность вести кибервойну», — считает Эйтел.
Итак, существуют вполне логичные, хотя и недоказуемые мотивы для правительства Северной Кореи организовать подобные атаки. Кроме того, есть также и настоящие, экспертно-криминалистические и вытекающие из контекста доказательства участия КНДР в происходящем.
Исследователь из «Лаборатории Касперского» Курт Баумгартнер заметил сходство между атаками на Sony и другими действиями, которые принято приписывать северокорейским хакерам, о чем и рассказал в статье на Securelist. Баумгартнер отмечает, что хакеры использовали вредоносное ПО под названием Destover, которое переписало содержимое жестких дисков во всей компании Sony. Тот же самый зловред предположительно использовался при проведении целевых атак под названием DarkSeoul, поражавших устройства в Южной Корее.
Just like Shamoon, Just like DarkSeoul — lot of similarities revealed by @k_sec in Sony Picture hack samples analysis http://t.co/DJE6hdkV72
— codelancer (@codelancer) December 4, 2014
Вся эта история с Sony еще не скоро закончится, поскольку ответы на многие вопросы пока не найдены. Вероятно, вскоре мы узнаем гораздо больше о том, кто и зачем провел эти атаки.