23/12/2014

Czy Korea Północna naprawdę stoi za cyberatakiem na Sony?

Informacje

Od kilku dni w internecie huczy na temat cyberataku na Sony Pictures Entertainment. Jeżeli powszechnie akceptowana wersja wydarzeń odzwierciedla prawdę, iskrą zapalną koszmarnego scenariusza z cyberatakiem na Sony stało się coś co miało być tylko infantylną komedią zatytułowaną „The Interview”. Bohaterami filmy są dwaj dziennikarze, którzy otrzymują możliwość przeprowadzenia wywiadu na wyłączność z najwyższym przywódcą Korei Północnej, Kim Dzong Unem, a w tle fabuły odbywa się planowanie zamachu na życie despotycznego dyktatora.

Sony-hack-1024x767

Sony widocznie nie odrobiło należytej pracy domowej po tym jak wiosną 2011 roku hakerzy zaatakowali platformę PlayStation Network i wyłączyli ją z funkcjonowania na cały miesiąc. Obecnie znowu stajemy się świadkami kolejnego, jeszcze bardziej upokarzającego, incydentu dotyczącego bezpieczeństwa.

Poniżej prezentuję zwięzłe kalendarium wydarzeń:

Najpierw Sony Pictures Entertainment zostaje zhakowane przez grupę napastników, którzy są powszechnie uważani za sprzymierzeńców Koreańskiej Republiki Ludowo-Demokratycznej (Korea Północna). Następnie, w totalnie przypadkowej kolejności, hakerzy zaczynają upubliczniać skradzione zdobycze z Sony, takie jak filmy, gotowe scenariusze do nowych projektów, poufne dane o opiece zdrowotnej pracowników firmy, a także wewnętrzną korespondencję. Wreszcie hakerzy grożą atakami terrorystycznymi podczas premiery filmu „The Interview”. Regal Cinemas, jedna z największych sieci kin w Stanach Zjednoczonych, oświadcza, że nie wyświetli tego filmu, gdy w końcu samo Sony rezygnuje z premiery.

Przyjmuje się, że to Korea Północna stanęła za tymi atakami. Niemniej jednak, warto zachować dozę sceptycyzmu w poszukiwaniu winnych – i to nie bez powodu. Na ogół, gdy państwo sponsoruje grupę hakerską do przeprowadzenia ataku, robi to w sposób potajemny – i robi wszystko, co się da, by tak pozostało. Można oczywiście zawęzić podejrzanych do kampanii czy grup związanych z atakami APT i stwierdzić, że pewien kraj był prawdopodobnie odpowiedzialny za atak. Jednakże, obrany cel i efekt takich ataków nigdy nie pozwala w 100% stwierdzić, kto był autorem szkodliwej operacji. Jeżeli dołożymy do tego globalny charakter internetu i łatwość, z jaką można prowadzić działania pod fałszywą banderą, określenie narodowości atakującego staje się jeszcze trudniejsze.

Mówiąc ogólnie, gdy jakiś kraj stoi za cyberatakiem, robi wszystko, by to nie wyszło na jaw.

W tym przypadku, grupa która przyznała się do ataku podobno umieściła na komputerach pracowników Sony, szczerze mówiąc, absurdalną grafikę przestawiającą łypiący, upiorny szkielet. Większość grup hakerskich, które działają w modelu APT nie funkcjonuje w ten sposób – ogłaszając swoją obecność w zainfekowanej sieci. Ta grupa „Strażników Pokoju” (ang. Guardians of Peace) wystosowała poważne groźby wobec Sony, kinomanów oraz całego społeczeństwa amerykańskiego.

Pozostaje jednak pytanie: Czy to Korea Północna stoi za atakami na firmę Sony? Serwisy informacyjne cytują oficjalne oświadczenie rządu USA w którym mówi się, że Korea Północna jest zaangażowana w przeprowadzony atak, a Barack Obama zapowiedział odwet.

Z drugiej strony, serwis Wired trzyma się swojej wcześniej obranej teorii sugerując, że nie ma dowodów aby twierdzić, że to właśnie Korea Północna zaatakowała Sony. Wired pisze o tym, że trudno (jeżeli w ogóle jest to możliwe) jednoznacznie określić sprawcę cyberataku. Dlatego też serwis nawołuje do zachowania dozy sceptycyzmu. I trudno się tu nie zgodzić z Wired. Dlaczego obcy rząd miałby publicznie zaatakować zagraniczną korporację z powodu celowo absurdalnego filmu?

Faktycznie może być wiele powodów.

Niektórzy obserwatorzy uważają, że złość wywołana produkcją „The Interview” jest pretekstem dla Korei Północnej na zmierzenie swojej cyber-siły.

„Tutaj nie chodzi o film, ani nawet samą firmę Sony” napisał prezes „Immunity” i były naukowiec NSA Dave Aitel w swoim codziennym newsleterze „Daily Dave”. „Podczas tworzenia programu nuklearnego, musisz zdetonować co najmniej jedną głowicę tak, żeby inne kraje mogły zobaczyć co potrafisz. Taka sama zasada zapanowała w cyberświecie”.

W piątkowy poranek portal Threatpost poinformował, że Aitel był pierwszym, który przestawił teorię, że to właśnie Korea Północna była odpowiedzialna za atak na Sony. Porównał on także te działania do sytuacji z 2012 r. w której to rzekomo Iran był zaangażowany w atak Shamoon, który zniszczył 30 tysięcy stacji roboczych u światowego producenta oleju z Arabii Saudyjskiej – Saudi Aramco.

„Iran zadał dokładnie ten sam cios Saudi Aramco, aby zademonstrować, że potrafią i co najważniejsze – mogą”, powiedział Aitel. „To samo stało się w przypadku Sony”.

Są to całkowicie uzasadnione, chociaż spekulacyjne, wyjaśnienia, dlaczego i jak Korea Północna może być zmotywowana do rozpoczęcia takiego ataku. Istnieją także pewne realne, dochodzeniowe oraz kontekstowe dowody pozwalające wskazać Koreę Północną jako atakującego.

Kurt Baumgartner, badacz z firmy Kaspersky Lab, wskazał szereg podobieństw pomiędzy atakiem na Sony, a innymi działaniami cyberprzestępczymi przypisywanymi Korei Północnej, o których pisał w swoim artykule w SecureList na początku tego miesiąca. Baumgartner zauważa, że napastnicy maskują swoje ślady poprzez instalowanie destrukcyjnego, szkodliwego oprogramowania zacierającego ślady, nazwanego „Destover”, uszkadzając w ten sposób dyski twarde w całej firmie. Ten sam typ szkodników został wykorzystany w atakach „Darkseoul”, które były wymierzone w Koreę Południową, a które zostały przypisane właśnie jej północnemu sąsiadowi.