Οι ειδικοί ασφάλειας που αναλύουν το κακόβουλο λογισμικό που χρησιμοποιήθηκε στο hack της Sony έχουν καταλήξει στο συμπέρασμα ότι οι δράστες γνώριζαν σχεδόν τα πάντα για το δίκτυο πριν από την εισβολή.
Οι ερευνητές της Trend Micro ανακάλυψαν τη σύνδεση μεταξύ του κακόβουλου λογισμικού (που ονομάστηκε WIPALL) που το FBI εξέδωσε προειδοποίηση στην αρχή της εβδομάδας και της επίθεσης εναντίον της Sony. Η ανάλυση άφησε να εννοηθεί ότι οι hackers Guardians of Peace (GoP), ήταν ήδη εξοικειωμένοι με το δίκτυο που παραβίασαν.
Πως το κατάλαβαν;
Περισσότερες ενδείξεις που ενισχύουν αυτή τη θεωρία ανακοινώθηκαν Πέμπτη, από εμπειρογνώμονες ασφαλείας της Blue Coat, οι οποίοι εξέτασαν επίσης δείγματα του κακόβουλου λογισμικού.
Λόγω του μηχανισμού αναπαραγωγής του malware, οι ερευνητές το χαρακτήρισαν “worm εξ ορισμού.”
Κατά την ανάλυση του malware, ανακάλυψαν ένα αρχείο κειμένου που περιείχε περισσότερους από 10.000 αντιστοιχίσεις μεταξύ των εσωτερικών ονομάτων κεντρικών υπολογιστών και διευθύνσεων IP, κάτι το οποίο δείχνει ότι οι ψηφιακές εγκαταστάσεις ήταν γνωστές στους εισβολείς και είχαν μια σαφή ιδέα για τα στοχευμένα συστήματα.
Η αρχική εισβολή μάλλον έχει γίνει τον Μάιο, σύμφωνα με τις πληροφορίες που συγκεντρώθηκαν από τον σαρωτή URL WebPulse της Blue Coat. Η εταιρεία κατέγραψε κίνηση σε μια από τις hardcoded διευθύνσεις IP από μια εταιρεία web hosting στη Βολιβία, και την κατέδειξαν σαν μια απόπειρα phishing.
Μελετώντας ένα δεύτερο δείγμα του malware, οι ερευνητές της Blue Coat ανακάλυψαν σημάδια προηγούμενης εισβολής. Αυτή περιείχε εντολές διαγραφής δεδομένων και χρησιμοποιούσε επίσης hard-coded διαπιστευτήρια για να συνδεθεί με διαφορετικά μηχανήματα στο δίκτυο.
Μια ενδιαφέρουσα λεπτομέρεια είναι το γεγονός ότι η διαδικασία της επίθεσης ήταν παρόμοια με άλλες επιθέσεις που έχουν γίνει στο παρελθόν, και αποδίδονται στους hackers πίσω από τους Shamoon και το hack στην Aramco, την εταιρεία πετρελαίου της Σαουδικής Αραβίας. Τόσο οι Shamoon όσο και οι GoP χρησιμοποίησαν τα ίδια προγράμματα και drivers (διατίθενται στο εμπόριο σαν EldoS RawDisk) για να διαγράψουν τις πληροφορίες.
Αυτή η ομοιότητα έχει επιβεβαιωθεί και από τους ερευνητές ασφαλείας της Kaspersky, την Πέμπτη, οι οποίοι διαπίστωσαν και άλλες ομοιότητες, όπως το γεγονός ότι και στις δύο περιπτώσεις, τα στοιχεία ήταν compiled λίγο πριν την ημερομηνία επίθεσης και αναφέρονται στο malware σαν Destover.
Θα μπορούσε κανείς να υποθέσει ότι οι δύο ομάδες μοιράστηκαν τις γνώσεις τους, ή ότι ένα βασικό μέλος μιας ομάδας συμμετείχε και στα δύο περιστατικά.
Η Sony έχει προσλάβει την ομάδα αντιμετώπισης τέτοιων περιστατικών MANDIANT της FireEye για να πραγματοποιήσει μια εγκληματολογική ανάλυση της επίθεσης. Το FBI ερευνά επίσης την παραβίαση.
