fbpx
-2.2 C
София

Стана ясен инструментът, с който са атакувани Sony Pictures

Най-четени

Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.


Националният Център за Действие при Инциденти в Информационната Сигурност (Computer emergency response team, CERT) на САЩ публикува в петък предупредителен бюлетин, описващ малуера, с който са били атакувани системите на Sony Pictures и дава подробен анализ на заплахата, както и възможни препоръки към организациите за начина, по който могат да се предпазят от възможни атаки, свързани със зловреда.

Вчера ви съобщихме за упрека на американския президент Барак Обама към отговорните лица в компанията относно практиките по обезопасяване на данните и системите, които Sony Pictures явно са пренебрегнали. Отново тази седмица стана ясно вече със сигурност, че именно севернокорейски хакери стоят зад масивната хакерска атака.

В края на миналия месец, хакери, представящи се като Guardians of Peace (G.O.P.) осъществиха сериозна атака към системите на американската компания, изкарвайки от строй десетки компютри. В следствие на това, бяха откраднати данни и записи от комуникациите на множество служители на студиото, мениджъри, кинозвезди и продуценти, които след това изтекоха в публичното интернет пространство, ставайки достояние на потребителите на Мрежата. Освен това, при атаката са били откраднати и цифрови копия на няколко филма, които чакаха премиера през следващата година. Те също изтекоха в Мрежата, появявайки се по страниците на световните интернет тракери. Всичко това е станало, заради излизането на The Interview – комедия, в която се разказва за журналисти, които се опитват да убият севернокорейския лидер Ким Чен Ун по поръчение на ЦРУ. Макар и получили предупреждение за това, което ще се случи, ако студиото не се откаже от плановете си да представи лентата на света, явно от Sony не са взели заплахата сериозно и не са се подготвили за евентуален хакерски удар.

Подробният анализ, който публикува вчера US CERT на страниците на сайта си, описва извънредно сложен APT (от англ.: advanced persistent threat – усъвършенствана, устойчива заплаха), което служи да покаже, че атаката е планирана изключително внимателно и в нея са вложени значителни усилия и време.

SMB Worm Tool, каквото име са дали специалистите на въпросното кибер оръжие, представлява сложна модулна заплаха, съдържаща пет компонента: Listening Implant, Lightweight Backdoor, Proxy Tool, Destructive Hard Drive Tool и Destructive Target Cleaning Tool.

Червеят успява да се разпространи в засегнатите мрежи посредством компремитаране на мрежовата инфраструктура чрез brute-force атака, насочена към авторизационните системи, след което се свързва с командни сървъри, разположени в различни точки на планетата. Това са били системи, чието проследяване показва, че вероятно се намират в страни, като Полша, Тайланд, Италия, Боливия, Сингапур и САЩ.

US-CERT предоставят също така и подробен анализ на отделните компоненти.

Основният компонент: SMB Worm Tool използва споменатият brute-force метод, за да се разпространи чрез споделени ресурси през Windows SMB. Той се свързва с управляващия го сървър на всеки пет минути, за да изпраща записи, като използва SMB порт 445. След това той получава допълнително команди от сървъра с инструкции, които да му осигурят успех при отгатване на паролите на други SMB връзки. Ако паролата бъде отгатната успешно, то бива споделян файл, който бива копиран на платформата на новозаразената система.

Listening Implant успява по време на инсталацията си да декриптира част от бинарните файлове посредством AES метода, използвайки специално изготвен за това ключ. Дейността му продължава със „слушане“ на комуникацията, осъществявана през TCP портове 195 и 444.

Lightweight Backdoor от своя страна е проектиран като сервизна DLL библиотека. Малуерът притежава функционалности за обмен на файлове, изследване на системата, манипулация на процесите, сравняване между времената и възможност за установяване и свързване към прокси сървър. Освен това зловредът може да изпълнява изпълнение на случаен код, както и на различни команди посредством системната конзола. Модулът притежава освен това способност да открива портове в защитната стена, както и да се възползва от възможностите на UPNP (universal Plug and Play) протокола, за да открива рутери и интернет-шлюзове.

Proxy Tool: компонентите на този зловред обикновено биват зареждани посредством допълнително добавен към системата файл, който се инсталира като услуга, а след това бива инструктиран да „слуша“ на порт 443. Инструментът, освен това притежава класическите функционалности бекдор, а така също и възможност да изпълнява дистанционни команди, да изнася списък с файловете, които се намират в директориите, трансферира файлове и други сходни възможности.

Може би най-страшният от модулите е инструментът за разрушаване на дисковото устройство (Destructive Hard Drive Tool). Посредством този специално изготвен от хакерите инструмент данните биват заличени, така че те да не могат да бъдат възстановени. Ако управляващият този инструмент има администраторски права над атакуваната система, той не само презаписва част от дисковете под негово управление, но и пише по MBR (master boot record) сектора с програма, която е изготвена така че да нанесе по-нататъшни щети върху дисковете, ако системата бъде стартирана наново. 

Destructive Target Cleaning Tool е инструментът, който нанася допълнителни щети по MBR сектора на диска, а Network Propagation Wiper отговаря за разпространението си към свързаните с целевата машина мрежови хостове. Инструментът се възползва от вече наличните му пароли, за да се разпространи към споделените в мрежата Windows устройства, качвайки към тях копие на малуера и започва да заличава данни от тях.

Абонирай се
Извести ме за
guest
3 Коментара
стари
нови
Отзиви
Всички коментари
Dave
Dave
6 години

не, просто сигурността в Сони е като тази на кошара с кокошки на село

1Force1
1Force1
6 години

А, тия нещо са се объркали. Атаката е била проведена с китара, от известен металист.

Agentpat™
Agentpat™
6 години

Ебало си хакерите, дето ги има тоя Ким Чен Ун.

Нови ревюта

Подобни новини