Geekly Articles each Day

FBI:北朝鮮のハッカーに攻撃されたソニー

数週間前に、ソニー(Sony Pictures Entertainment)に対する大規模なサイバー攻撃について知られるようになりました。 サイバー攻撃の結果、攻撃者はいくつかの未公開の映画や会社の従業員の個人データにアクセスすることができました。 FBIとFireEyeが実施したこのインシデントの調査中に、ハッカーが社内のコンピューターネットワークに侵入し、 Destoverマルウェア (ESET: Win32 / NukeSped.A 、Microsoft: Trojan:Win32 / NukeSped.A 、Symantec: Backdoor.Destover )。 サイバー攻撃でこのマルウェアファミリを使用しているため、メディアはいわゆる Destoverはコンピューターのハードドライブデータの破壊を専門としているため、「破壊的な攻撃」。

北朝鮮からのハッカーの関与に関する最初の声明は、メディアで多くの騒ぎを起こし、説得力がないように見えました。 彼らはFireEyeの幹部から来ており、FBIと一緒に事件を調査しました。 しかし、昨日、FBIはプレスリリースを発表しました。このプレスリリースでは、この国のハッカーがSonyへの攻撃に実際に関与していることが明らかになりました。さらに、サイバー攻撃は国が後援するタイプです。つまり、政府のために働くまたは関連するハッカーによって行われました。彼の状態。 組織。 これらのデータの一部は、有名なアメリカの会社CrowdStrikeによっても確認されました。


ソニーから盗まれた映画やその他の情報、特に会社の従業員のデータは、パブリックドメインに掲載されました。 ただし、同社はこれらのリソースの多くを取り除くために迅速な措置を講じました。 情報を含む一部のアーカイブでは、 クレブソンセキュリティを自由に使用できました

サイバー攻撃で使用されるマルウェアは、コンピューターのハードドライブデータの完全な破壊に特化しており、機能がWiper / Shamoonと呼ばれる悪意のあるソフトウェアに似ています。 昨年、ワイパーは韓国の組織に対するサイバー攻撃に使用されました。


VirusTotalの実行可能なマルウェアファイルの1つは、高い検出率を持っています。

FBIレポートから。

私たちの調査の結果、および他の米国政府の部門や機関との緊密な協力の結果、FBIは北朝鮮政府がこれらの行動に責任があると結論付けるのに十分な情報を手に入れました。 機密性の高いソースと方法を保護する必要があるため、この情報のすべてを共有することはできませんが、結論の一部は次のことに基づいています。
  • この攻撃で使用されたデータ削除マルウェアの技術分析は、FBIが以前に開発した北朝鮮の攻撃者を知っている他のマルウェアへのリンクを明らかにしました。 たとえば、特定のコード行、暗号化アルゴリズム、データ削除方法、および侵害されたネットワークに類似点がありました。
  • FBIはまた、この攻撃で使用されたインフラストラクチャと、米国政府が以前に北朝鮮に直接リンクしていた他の悪意のあるサイバー活動との間の著しい重複を観察しました。 たとえば、FBIは、既知の北朝鮮のインフラストラクチャに関連付けられたいくつかのインターネットプロトコル(IP)アドレスが、この攻撃で使用されるデータ削除マルウェアにハードコードされたIPアドレスと通信することを発見しました。
  • それとは別に、SPE攻撃で使用されるツールは、北朝鮮が実施した昨年3月の韓国の銀行やメディアに対するサイバー攻撃と類似しています。

米国政府機関と協力して実施された[ この事件の ]調査の結果、FBIは北朝鮮政府がこれらの行動[ サイバー攻撃 ]に責任があると結論付けるのに十分な情報を持っています。 これまでのところ、情報源を保護する必要があるため、この調査に関する完全な情報を公開することはできませんが、調査結果は次の情報に基づいています。



いくつかの追加情報はkrebsonsecurityレポートにあります。

Source: https://habr.com/ru/post/J244853/

More articles:


All Articles