Sony , Coreia do Norte culpada ou inocente?

Sony Pictures Hack: Coreia do Norte é inocente ou culpado?

    


Sony Pictures rede corporativa hackeado

No final de novembro, a rede corporativa da Sony Pictures foi violado e tirado do ar por um ataque baseado malware. O ataque causou a divulgação de dados confidenciais pertencentes à empresa e seus funcionários ea destruição de máquinas internas que foram infectados por um poderoso limpador de malwares.

No momento, a única certeza é o nome do grupo de hackers que atingiu a Sony Pictures, os Guardiães da Paz (aka GOP), mas existem várias hipóteses sobre a sua origem e a real motivação por trás do ataque.

O governo dos Estados Unidos, após a primeira rodada de investigações, acusou a Coreia do Norte do ataque, especulando que o GOP é um grupo de hackers patrocinados pelo Estado que trabalham para Pyongyang ou uma equipe de hackers contratados por autoridades coreanas para bater a empresa norte-americana.

Por que a Coreia do Norte?

A situação ainda não é clara. A atribuição do ataque é muito complicado, devido à falta de provas irrefutáveis.

No momento, é muito difícil atribuir o ataque cibernético a um ator de ameaça específica ou para compreender a natureza do delito. É o ataque à Sony Pictures um ato de cibercrime ou uma operação de execução promovida pelo Estado por um governo estrangeiro?

Apesar de que a investigação ainda está em curso, o diretor do FBI forneceu mais detalhes sobre o ataque cibernético contra Sony Pictures, que afirma que a Coreia do Norte foi responsável. O FBI ligou o GOP para a Coreia do Norte . Falando na Conferência Internacional sobre Segurança Cibernética (CIEC) da Universidade de Fordham, em Nova York na semana passada, o diretor do FBI, James Comey, confirmou a alegação.

Comey informou que de acordo com as novas provas recolhidas pelo Bureau, a Coreia do Norte está envolvido no ataque cibernético em massa contra a Sony Pictures.

'[Ele] "confiança muito alta" Pyongyang estava por trás dele e revelou novos detalhes' relatou FoxNews . "Ele disse que investigadores norte-americanos foram capazes de rastrear e-mails e mensagens de Internet enviadas pelos Guardiães da Paz, o grupo por trás do ataque, e ligá-los à Coréia do Norte. Comey disse que a maioria do tempo, o grupo enviou e-mails ameaçadores funcionários da Sony e fez várias outras declarações on-line usando servidores proxy para disfarçar onde as mensagens foram a partir de ".

Uma captura de tela do FBI Director Comey Tweet sobre o #Sony corte é mostrado abaixo.

Figura 1 - Sony Pictures Tweet sobre Sony hackear

Director Comey revelou que hackers não conseguiram proteger suas identidades em alguns casos. Membros do Partido Republicano estão confiando em conexões proxy para esconder seus endereços IP reais cada vez que enviar e-mails ou mensagens ameaçadoras para as autoridades. Em algumas ocasiões, eles não disfarçou seus endereços IP, permitindo que os agentes de monitorá-los.

Figura 2 - O diretor do FBI Comey

Os investigadores descobriram que os endereços IP usados ​​por hackers pertencem a uma gama de IPs utilizados exclusivamente pelo governo norte-coreano.

"Em quase todos os casos, [os hackers Sony conhecidos como os Guardiães da Paz] utilizados servidores proxy para disfarçar onde eles estavam vindo em enviar esses e-mails e postar essas declarações. Mas várias vezes que obtiveram descuidado ", afirmou Comey. "Várias vezes, ou porque se esqueceram ou por causa de um problema técnico, eles conectado diretamente e pudemos ver que os IPs que eles estavam usando ... foram usadas exclusivamente pelos norte-coreanos."

As informações coletadas pelo FBI dá uma "indicação muito clara de quem estava fazendo isso."

É a primeira vez que o FBI compartilhou os resultados de sua investigação. O Bureau afirmou que a Coreia do Norte foi responsável pelo ataque após a análise de malware limpador usado pela tripulação GOP. As empresas de segurança que analisaram o código malicioso descobriu que ele foi escrito em coreano e apresentou muitas semelhanças com outros tipos de malware usado pelo governo da Coréia do Norte em ataques cibernéticos contra os sistemas de computadores da Coreia do Sul.

A aplicação da lei ainda está investigando o ataque cibernético. Ainda não está claro como hackers violaram a rede Sony Pictures para roubar a informação confidencial. É provável que os hackers usaram spear phishing ataques para recolher informações preciosas usadas para o ataque.

Lizard Squad e GOP ... a suposta aliança

Enquanto o FBI está admitindo que mais informações são necessárias para entender melhor como os hackers violaram sistemas da Sony Pictures, a notícia perturbadora de uma possível colaboração entre Lizard Squad e GOP tem circulado em torno da web.

De acordo com o The Washington Post , a equipe de hackers GOP utilizado um conjunto de dados que veio do Lizard Plantel equipe pirataria, cujos membros são todos baseados em nações europeias.

Lizard Squad é o grupo de hackers que se executam vários ataques DDoS nas redes de jogos do último Natal Sony e Microsoft. Lizard Plantel derrubou o Play Station Rede e o serviço Xbox LIVE no dia de Natal.

Em uma entrevista com o The Washington Post , um membro Lizard Plantel autoproclamado revelou que o grupo forneceu os dados roubados da Sony para os Guardiães da Paz. O alegado membro da Lizard Plantel explicou a equipe de hacking popular, teve contato com a equipe do GOP e que os dois grupos de hackers dados utilizados no ataque contra a Sony Pictures compartilhada. O membro esclareceu que os membros Lizard Plantel não desempenham um papel crucial na ofensiva contra a Sony, mas a circunstância confirma a complexidade do ecossistema subterrâneo e o valor atribuído a dados roubados que são trocados ou vendidos como mercadorias preciosas.

O membro Lizard Plantel não deu detalhes sobre a forma como o grupo se reuniu as informações de login para os funcionários da Sony. É provável a equipe encontrou os dados durante um reconhecimento de um ataque à rede de jogos PlayStation.

Abaixo um trecho da entrevista:

Alguns relatos sugerem que você tem links para Guardiões da Paz, e, possivelmente, para o Estado islâmico. Você pode falar sobre isso por um minuto?

Bem, nós sabemos que algumas pessoas do GOP. Não temos qualquer relação com o IS.

Mas você não trabalhar com Guardiões da Paz de romper a rede da Sony e ter acesso aos e-mails, etc.? Em outras palavras, você sabe que algumas pessoas, mas não estavam envolvidos na Sony cortar envolvente 'A Entrevista'?

Bem, nós não jogar um papel importante nisso.

Qual é a parte que você jogou?

Nós entregou alguns logins de funcionários da Sony para eles. Para o hack inicial.

O membro Lizard Esquadrão confirmou que sua equipe " entregou alguns logins de funcionários da Sony "que foram usados ​​pelo GOP para alvejar Sony Pictures.

Coreia do Norte - A suposição de inocência

Embora a aplicação da lei está acusando a Coreia do Norte, parte da comunidade de segurança cibernética levanta muitas dúvidas sobre os argumentos apresentados pelo FBI.

As declarações do membro Lizard Plantel parecem exonerar a Coreia do Norte , a menos que a hipótese formulada pela Reuters é verdade. Agência de Notícias Reuters informou que investigadores norte-americanos especulam que o governo de Pyongyang "contratada" alguns dos trabalhos envolvidos, uma circunstância que poderia explicar o envolvimento de Lizard Squad.

"Investigadores norte-americanos acreditam que a Coreia do Norte provavelmente contratou hackers de fora do país para ajudar com ciberataque maciço do mês passado contra a Sony Pictures, uma autoridade próxima à investigação disse na segunda-feira.

Como a Coreia do Norte não tem a capacidade de realizar alguns elementos da campanha sofisticada, por si só, investigadores norte-americanos estão olhando para a possibilidade de que Pyongyang "contratada" alguns dos trabalhos cyber, de acordo com o funcionário, que não estava autorizado a falar sobre o registro sobre a investigação. ", afirma um post publicado pela Reuters.

Uma das análises mais interessantes dos detalhes fornecidos pelo FBI Director Comey foi feito pelo especialista em segurança cibernética populares Jeffrey Carr.

Carr comentou as palavras proferidas pelo diretor do FBI, comentando sobre a semelhança entre os resultados da investigação conduzida pelas autoridades sobre o alegado ataque norte-coreano conhecido como o ataque escuro Seoul março de 2013:

"Em quase todos os casos, [os hackers Sony conhecidos como os Guardiães da Paz] utilizados servidores proxy para disfarçar onde eles estavam vindo em enviar esses e-mails e postar essas declarações. Mas várias vezes que obtiveram descuidado ", afirmou Comey. "Várias vezes, ou porque se esqueceram ou por causa de um problema técnico, eles conectado diretamente e pudemos ver que os IPs que eles estavam usando ... foram usadas exclusivamente pelos norte-coreanos."

Embora os resultados da análise realizada em 2013 e divulgada pelos estados de aplicação da lei:

"SEUL - Um erro técnico por um hacker parece ter reforçado o que a Coréia do Sul há muito suspeitava: a Coreia do Norte tem sido por trás de vários ataques de hackers na Coreia do Sul nos últimos anos .... O hacker exposto o endereço IP (175.45.178.xx) para até vários minutos devido a problemas técnicos em uma rede de comunicação, dando a Coreia do Sul uma pista rara em rastrear a origem do ataque de hackers, que teve lugar em 20 de março, de acordo com Autoridades sul-coreanas ".

Carr desafia a atribuição com base apenas na análise dos endereços IP atribuídos ao intervalo de endereços IP para o uso exclusivo do governo norte-coreano.

O argumento pode ter sido verdade anteriores a 2009, mas hoje é errado, porque é possível acessar o mesmo bloco de endereços por meio de outros países em que a Coreia do Norte tem conexões estratégicas, incluindo a China, Tailândia, Japão, Alemanha, e muitos outros.

"Por exemplo, em 2007, Agência de Notícias Central da Coréia estabelecido um servidor no Japão para ignorar bloqueando os esforços desenvolvidos pelos Ministério da Unificação da Coreia do Sul. Uriminzokkiri site de notícias da Coreia do Norte é executado em um servidor chinês. O Computing Center Coréia mantém escritórios em Pequim e Dalian. O Centro de TI Gwang Myong , que é um spin-off da Coreia do Centro de Computação, com escritórios na China vende soluções de segurança de rede, como anti-vírus e criptografia de dados para clientes internacionais, incluindo instituições financeiras no Japão ", explicou Carr. Hoje, a situação é bastante diferente , porque as empresas norte-coreanos têm colaborações com muitas outras empresas que operam em outros países. Carr também explicou que norte-coreano ISP Estrela Joint Venture é uma joint venture entre a Coreia do Norte Correios e Telecomunicações Corporation e outra joint venture - Loxley Pacífico (Loxpac) . Loxpac é a resultante de uma outra joint venture com Charring Thai Fio Beta, Loxley, Teltech (Finlândia), e Jarungthai (Taiwan).

Um suposto invasor operando por um terceiro poderia ter acesso à gama de IPs, teoricamente, atribuído à Coreia do Norte comprometer uma das inúmeras conexões ligadas ao ISP do país.

De acordo com a HP a Coreia do Norte Segurança Briefing (agosto de 2014), ele não seria tão difícil comprometer uma das máquinas que utilizam os blocos IP envolvidos nos ataques escuro Seul (175.45.178. xx e 175.45.179. xx), porque eles são usando "tecnologia que é potencialmente suscetível a várias vulnerabilidades datado e consistentemente mostrou as mesmas portas abertas e dispositivos ativos em hosts digitalizados."

A Casa Branca agrava sanções econômicas contra a Coréia do Norte

Nas últimas semanas, em resposta à análise FBI sobre a violação da Sony Pictures, a Coreia do Norte se recusou as acusações e propôs uma investigação conjunta com a aplicação da lei dos Estados Unidos, de acordo com a agência estatal de notícias KCNA.

O governo da Coreia do Norte confirmou que o seu apoio à investigação iria clarificar a situação do país, com exclusão de qualquer envolvimento no ataque. Em um comunicado relatado por KCNA, as autoridades coreanas alertar sobre "graves consequências" se os EUA se recusa a cooperar na investigação.

Por outro lado, a administração Obama decidiu agravar as sanções econômicas contra entidades norte-coreanas.

Figura 0 - US Presidente Obama

De acordo com a Casa Branca, as sanções serão aplicadas a três entidades e dez indivíduos considerados pela inteligência dos EUA como "agências ou funcionários do governo norte-coreano."

As entidades são:

Reconnaissance Geral da Mesa - organização de inteligência primária da Coréia do Norte.
Korea Mining Development Trading Corporation KOMID - O traficante de armas e principal exportador de equipamentos militares e armas convencionais.
Korea Tangun Trading Corporation - responsável pela aquisição de tecnologias de apoio à investigação de defesa nacional.
Estas sanções estabelecidas por uma preocupação ordem executiva norte-coreano Reconnaissance Geral da Mesa e as autoridades no Irã, Rússia e China. De qualquer forma, os especialistas em segurança consideram o ato apenas uma posição demonstrativo porque as autoridades norte-americanas sempre expressaram sua desconfiança contra as entidades acima.

"Levamos a sério ataque da Coreia do Norte, que teve como objetivo criar efeitos financeiros destrutivos sobre uma empresa dos EUA e ameaçar artistas e outros indivíduos com o objetivo de restringir o seu direito à liberdade de expressão", acrescentou o secretário de imprensa da Casa Branca, Josh Earnest.

O governo dos Estados Unidos dá um significado mais profundo para as sanções, considerado o " primeiro aspecto da nossa resposta. "

A posição do presidente Obama em uma carta ao Congresso:

"A ordem não é direcionado para as pessoas da Coreia do Norte, mas destina-se ao governo da Coreia do Norte e suas atividades que ameaçam os Estados Unidos e outros."

Muitos especialistas especularam que a recente queda de Internet sofrido pela Coreia do Norte foi uma possível resposta das unidades cibernéticos dos EUA para o ataque em sistemas Sony Pictures, mas o governo dos EUA se recusou a acusação.

"Mesmo que o FBI continua sua investigação sobre o ataque cibernético contra a Sony Pictures Entertainment, estes passos ressaltar que vamos empregar um amplo conjunto de ferramentas para nos defender empresas e cidadãos," estados

Secretário do Tesouro Jacob J. Lew.

O governo norte-americano sente a necessidade de afirmar a sua supremacia com um ato formal, manifestando a sua discordância sobre o que considera um ato de guerra.

"E os funcionários da administração insistiu novamente que o ataque Sony" cruzou claramente um limite ", nas palavras de um alto funcionário, de" website defacement e graffiti digital "para um ataque à infra-estrutura de informática", relata o New York Times .

Fique ligado para mais informações ...

Referências

http://www.fbi.gov/news/speeches/addressing-the-cyber-security-threat

http://securityaffairs.co/wordpress/30498/cyber-crime/sony-pictures-corporate-network-compromised-major-attack.html

http://securityaffairs.co/wordpress/31941/cyber-crime/fbi-vs-northkorea-sony-pictures.html

http://jeffreycarr.blogspot.it/2015/01/fbi-director-comeys-single-point-of.html

http://resources.infosecinstitute.com/cyber-attack-sony-pictures-much-data-breach/

http://securityaffairs.co/wordpress/30781/cyber-crime/sony-pictures-data-breach-may-exposed-staff-data-much.html

http://securityaffairs.co/wordpress/31338/cyber-crime/fbi-blames-north-korea-sony-pictures.html

Quer saber mais ?? O Instituto InfoSec curso Hacking Ético vai aprofundada sobre as técnicas utilizadas por hackers maliciosos, preto chapéu com atenção recebendo palestras e exercícios práticos de laboratório . Embora essas habilidades de hacker pode ser usado para fins maliciosos, esta classe ensina como usar as mesmas técnicas de hacking para executar um chapéu branco, corte ético, em sua organização. Você ficar com a capacidade de avaliar e medir quantitativamente ameaças aos ativos de informação; e descobrir onde a sua organização está mais vulnerável a hackers de chapéu preto. Algumas características deste curso incluem:
Dupla Certificação - CEH e CPT
5 dias de intensivos laboratórios práticos
Instrução de Peritos
Exercícios CTF à noite
Mais up-to-date material didático proprietária disponível
VISTA hacking ético
http://cryptome.org/2014/12/hp-nk-cyber-threat.pdf

http://securityaffairs.co/wordpress/31781/intelligence/us-sanctions-on-north-korea.html

http://www.washingtonpost.com/pb/blogs/the-switch/wp/2014/12/29/a-qa-with-the-hackers-who-say-they-helped-break-in-to-sonys-network/

http://www.foxnews.com/politics/2015/01/07/fbi-director-reveals-new-evidence-linking-n-korea-to-sony-hack-answers-skeptics/

http://www.politico.com/story/2015/01/james-comey-sony-hackers-114041.html

http://securityaffairs.co/wordpress/31652/cyber-crime/lizard-squad-helped-gop.html

http://securityaffairs.co/wordpress/30875/cyber-crime/wiper-malware-hit-sony-picture-written-korean.html

http://krebsonsecurity.com/2014/12/sony-breach-may-have-exposed-employee-healthcare-salary-data/

http://securityaffairs.co/wordpress/30663/cyber-crime/gop-north-korea-behind-the-sony-pictures-hack.html

http://securityaffairs.co/wordpress/30852/cyber-crime/gop-threatening-emails-sony.html

http://www.bbc.com/news/technology-30328510

https://info.publicintelligence.net/FBI-KoreanMalware.pdf

http://www.reuters.com/article/2014/12/02/us-sony-cybersecurity-malware-idUSKCN0JF3FE20141202

http://securityaffairs.co/wordpress/30791/cyber-crime/trendmicro-analyzed-wiper-malware-infected-sony-pictures.html

http://www.reuters.com/article/2014/12/04/us-sony-cybersecurity-nkorea-idUSKCN0JI1NZ20141204

http://www.reuters.com/article/2014/12/04/us-sony-cybersecurity-nkorea-idUSKCN0JI1NZ20141204?feedType=RSS&feedName=technologyNews

http://gizmodo.com/north-korea-no-we-didnt-hack-sony-1666246282?rev=1417711559470&new_editor_css

Por Pierluigi Paganini | 11 de janeiro de 2015 | Hacking | 0 Comments
Compartilhar esta história, Escolha sua plataforma!
Facebook  Chilro  LinkedIn  Reddit  Tumblr  Google +1  Email
Sobre o autor: Pierluigi Paganini

Pierluigi Paganini é Chief Information Security Officer em Bit4Id, líder firme em gerenciamento de identidade, membro da ENISA (Agência da União Europeia para a Segurança das Redes e da Informação) Trate Paisagem Grupo de Interessados, ele também é um Analista de Segurança Evangelista, Segurança e escritor freelance. Editor-in-Chief da revista do Cyber ​​Defesa, Pierluigi é um especialista em segurança cibernética, com mais de 20 anos de experiência no campo, ele é Certified Ethical Hacker pelo Conselho da CE em Londres. A paixão pela escrita e uma forte crença de que a segurança é fundada na partilha e consciência levou Pierluigi para criar o blog "Assuntos de Segurança", recentemente nomeado um Recurso de Segurança Nacional para US Top. Pierluigi é um membro da equipe de Notícias The Hacker e ele é um escritor de algumas das principais publicações no campo, como do Cyber ​​War Zone, ICTTF, Infosec Island, Instituto Infosec, a revista The Hacker News e para muitas outras revistas de segurança. Ele é o autor dos livros The Dark Web Deep and Digital Virtual Moeda e Bitcoin.
Deixe um comentário
 

dois +  = 7

Exames de treinos livres

CEH Exames de Prática
CISSP Exames de Prática
Exames PMP Practice
Mini-Cursos Relacionados

Ver Todos os cursos de Mini
Corpo Inteiro Cursos Online
Relacionados Boot Camps

Segurança da Informação
Information Assurance
Auditoria de TI
Microsoft
Cisco
CompTIA
Linux
Gerenciamento De Projetos
Sobre o autor
Pierluigi Paganini

Pierluigi Paganini é Chief Information Security Officer em Bit4Id, líder firme em gerenciamento de identidade, membro da ENISA (Agência da União Europeia para a Segurança das Redes e da Informação) Trate Paisagem Grupo de Interessados, ele também é um Analista de Segurança Evangelista, Segurança e escritor freelance. Editor-in-Chief da revista do Cyber ​​Defesa, Pierluigi é um especialista em segurança cibernética, com mais de 20 anos ...