諜影重重,是什么將索尼影業打回“紙筆時代”?
責編:admin |2014-12-08 18:57:39自稱“和平衛士”(Gardians of Peace,簡稱GOP)的黑客組織上周入侵索尼影業計算機網絡,竊取了大量敏感數據,并破壞了辦公網絡,將索尼影業“一夜之間打回到了紙筆時代”。從事件的整個過程來看,這并非一次普通的數據泄露或黑客勒索事件,黑客的動機不甚明了。從黑客在Twitter上發布針對索尼影業CEO個人的威脅信息來看,黑客似乎“不差錢”,興師動眾只是為了“討個公道”。
據安全牛之前的報道,“和平衛士”上月28日曾放出一個索尼影業泄露文件清單,其中包含了多個與 公司財務報告相關的PDF、DOC和 Excel 文件。PDF文件包含了密碼、簽證、以及出演索尼電影的演員身份證件,其中包括迪亞茲( Cameron Diaz)和朱莉(Angelina Jolie)。從公布的清單看,黑客訪問了個人的備份、 SharePoint服務器和文件服務器。
在安全公司Mandiant的幫助下,索尼影業本周已經重啟了計算機系統。但黑客隨后再次重重打擊了索尼影業:在Pastebin上公開了4.7萬名人、自由職業者、現雇員及前雇員社會保險號碼,內部文件披露有17位高管的年薪超過100萬美元。
在經歷這一連串的打擊后,索尼影業昨日終于對黑客攻擊事件作出官方回應,確實遭受攻擊并指認攻擊源頭來自北朝鮮。據悉,索尼與安全公司Mandiant的聯合調查尚未結束,但已經鎖定攻擊源頭為北朝鮮,此前據Re/code報道,索尼影業一開始就懷疑攻擊者背后受北朝鮮主使。
據FBI向媒體透露的信息,攻擊索尼影業的黑客使用了一種破壞性極強的未知惡意軟件(BKDR_WIPALL),能夠毀壞Windows電腦中的所有數據,并通過網絡文件分享自我傳播并攻擊Windows服務器。
索尼一位發言人表示黑客使用了一種高級惡意軟件,能夠利用微軟Windows自身的管理和網絡文件分享功能進行傳播,關閉網絡服務并重啟計算機。根據FBI的一份備忘錄,FBI能夠偵測到惡意軟件與命令控制服務器之間的通訊信號,但是由于該惡意軟件異常“兇悍”,只在啟動運行開始刪除數據時才向命令控制服務器發送信號,同時清除硬盤所有數據甚至主引導記錄,導致電腦無法啟動,因此識別這些信號也無法幫助受攻擊企業“止損”。
由于擔心“和平衛士”惡意軟件擴散并危害更多企業用戶(尤其是依賴Windows服務器產品的企業),FBI已經向企業用戶發出警告,各大安全廠商本周也紛紛開始研究該惡意軟件,試圖找出能夠在其啟動前進行識別(查殺)的方法。
不過目前已經有一種方法可以識別“和平衛士”惡意軟件:FBI在一份“和平衛士”惡意軟件的樣本描述中指出,惡意程序通訊的一組IP地址屬于一所日本大學,覆寫硬盤文件的程序硬編碼了三個CC服務器的IP地址(203.131.222.102,217.96.33.164和88.53.215.64),分別屬于泰國,波蘭和意大利。利用這三組IP地址,通過開源惡意軟件研究工具YARA,可以從眾多惡意軟件樣本中將“和平衛士”識別出來。
最新的進展是:趨勢科技根據FBI的備忘錄對“和平衛士”惡意軟件(BKDR_WIPALL)的傳播路徑進行了深入分析,確認FBI調查中的BKDR_WIPALL惡意軟件家族就是攻擊索尼影業的“和平衛士”惡意軟件。
目前業界依然不能確定黑客攻擊索尼影業的動機,根據Fusion的報道,“和平衛士”公布的索尼影業數據中包含了3萬名德勤公司員工的薪水信息(來自一位在索尼影業人力資源就職的前德勤員工的電腦),對其中的一些數據分析顯示德勤公司的薪資水平存在嚴重的性別差異,目前還不清楚這是黑客無心之舉還是確實在調查索尼影業的“不公道”。當然,我們也不能排除“和平衛士”這么大塊招牌背后有國家意志的存在。