自称“和平卫士”(GardiansofPeace,简称GOP)的黑客组织上周入侵索尼影业计算机网络,窃取了大量敏感数据,并破坏了办公网络,将索尼影业“一夜之间打回到了纸笔时代”。从事件的整个过程来看,这并非一次普通的数据泄露或黑客勒索事件,黑客的动机不甚明了。从黑客在Twitter上发布针对索尼影业CEO个人的威胁信息来看,黑客似乎“不差钱”,兴师动众只是为了“讨个公道”。
据安全牛之前的报道,“和平卫士”上月28日曾放出一个索尼影业泄露文件清单,其中包含了多个与公司财务报告相关的PDF、DOC和Excel文件。PDF文件包含了密码、签证、以及出演索尼电影的演员身份证件,其中包括迪亚兹(CameronDiaz)和朱莉叶(AngelinaJolie)。从公布的清单看,黑客访问了个人的备份、SharePoint服务器和文件服务器。
在安全公司Mandiant的帮助下,索尼影业本周已经重启了计算机系统。但黑客随后再次重重打击了索尼影业:在Pastebin上公开了其雇员的薪水和社会保险号码,内部文件披露有17位高管的年薪超过100万美元。
在经历这一连串的打击后,索尼影业昨日终于对黑客攻击事件作出官方回应,确实遭受攻击并指认攻击源头来自北朝鲜。据悉,索尼与安全公司Mandiant的联合调查尚未结束,但已经锁定攻击源头为北朝鲜,此前据Re/code报道,索尼影业一开始就怀疑攻击者背后受北朝鲜主使。
索尼影业出品的电影“The Interview”中饰演金正恩的演员剧照
据FBI向媒体透露的信息,攻击索尼影业的黑客使用了一种破坏性极强的未知恶意软件(BKDR_WIPALL),能够毁坏Windows电脑中的所有数据,并通过网络文件分享自我传播并攻击Windows服务器。
索尼一位发言人表示黑客使用了一种高级恶意软件,能够利用微软Windows自身的管理和网络文件分享功能进行传播,关闭网络服务并重启计算机。根据FBI的一份备忘录,FBI能够侦测到恶意软件与命令控制服务器之间的通讯信号,但是由于该恶意软件异常“凶悍”,只在启动运行开始删除数据时才向命令控制服务器发送信号,同时清除硬盘所有数据甚至主引导记录,导致电脑无法启动,因此识别这些信号也无法帮助受攻击企业“止损”。
由于担心“和平卫士”恶意软件扩散并危害更多企业用户(尤其是依赖Windows服务器产品的企业),FBI已经向企业用户发出警告,各大安全厂商本周也纷纷开始研究该恶意软件,试图找出能够在其启动前进行识别(查杀)的方法。
不过目前已经有一种方法可以识别“和平卫士”恶意软件:FBI在一份“和平卫士”恶意软件的样本描述中指出,恶意程序通讯的一组IP地址属于一所日本大学,覆写硬盘文件的程序硬编码了三个CC服务器的IP地址(203.131.222.102,217.96.33.164和88.53.215.64),分别属于泰国,波兰和意大利。利用这三组IP地址,通过开源恶意软件研究工具YARA,可以从众多恶意软件样本中将“和平卫士”识别出来。
最新的进展是:趋势科技根据FBI的备忘录对“和平卫士”恶意软件(BKDR_WIPALL)的传播路径进行了深入分析,确认FBI调查中的BKDR_WIPALL恶意软件家族就是攻击索尼影业的“和平卫士”恶意软件。
目前业界依然不能确定黑客攻击索尼影业的动机,根据Fusion的报道,“和平卫士”公布的索尼影业数据中包含了3万名德勤公司员工的薪水信息(来自一位在索尼影业人力资源就职的前德勤员工的电脑),对其中的一些数据分析显示德勤公司的薪资水平存在严重的性别差异,目前还不清楚这是黑客无心之举还是确实在调查索尼影业的“不公道”。当然,我们也不能排除“和平卫士”这么大块招牌背后有国家意志的存在。