Áll a bál a Sony meghackelése miatt

A Sony Pictures ellen elkövetett hackertámadás minden korábbinál nagyobb port kavart. Barack Obama elnök egyértelműen Észak-Koreát tette felelőssé a történtek miatt, miközben újabb részletek derültek ki arról a károkozóról, ami a vállalatnál pusztíthatott.
 

December elején az FBI - valószínűsíthetően a Sony Pictures-nél bekövetkezett incidens hatására - egy biztonsági jelentést küldött ki egyes amerikai nagyvállatoknak. Ebben arra hívta fel a figyelmet, hogy célzott támadások során egy pusztító, akár helyreállíthatatlan károkat előidéző ártalmas program is feltűnhet. A jelentésben szereplő kártevő egyes mintái eljutottak a biztonsági cégekhez is. Az elemzésekből az derült ki, hogy az ártalmas program sok hasonlóságot mutat olyan károkozókkal, amelyek korábban a Saudi Aramco olajipari vállalatot, valamint egyes dél-koreai bankokat, műsorszóró cégeket állítottak célkeresztbe, és kényszerítettek térde kritikus rendszereket.
 
Az észak-korai kapcsolatot már korábban is többen emlegették, de először a múlt hét végén történt erre vonatkozó hivatalos bejelentés. Ezt pedig nem más tette meg, mint Barack Obama amerikai elnök, aki az év végi utolsó sajtótájékoztatóján Észak-Koreát hibáztatta a történtek miatt, és egyúttal válaszlépéseket helyezett kilátásba. Jelezte, hogy egyelőre nincsenek bizonyítékok arra, hogy Észak-Korea más országokkal is szövetkezett volna a kibertámadások során. Ugyanakkor Obama a Sony-t is hibáztatta, amiért az "behódolt" a hackerek akaratának, és úgy döntött, hogy nem mutatja be a The Interview című filmet. Nem sokkal később Kim Song észak-koreai politikai tanácsadó határozottan cáfolta, hogy az országának bármiféle kapcsolata lenne a hackerekkel. Vagyis egy jelentős diplomáciai csatározás bontakozott ki.
 
Ez a kártékony program pusztíthatott

Információbiztonsági szempontból mindenképpen lényeges, hogy Obama nyilatkozata után nem sokkal a US-CERT egy érdekes jelentést adott ki, amelyben egy igen pusztító kártékony program részleteiről számolt be. A szervezet csak annyit közölt, hogy a szóban forgó program egy szórakoztatóiparban tevékenykedő nagyvállalatnál volt kimutatható. Azt nem erősítette meg, hogy a Sony Picturesről van szó, de azért ezt sokan tudni vélik.
 
A US-CERT tájékoztatója egy SMB Worm Tool névre keresztelt féregről szól, amely alapvetően hálózati megosztásokon keresztül képes terjedni a hagyományos 445-ös SMB porton keresztül. Leginkább brute force típusú támadásokkal igyekszik felkutatni, és megfertőzni a nem megfelelően védett megosztásokat. Öt komponensből épül fel, amelyek önmagukban is meglehetősen komoly veszélyt jelenthetnek a célkeresztbe állított rendszerekre nézve:
 
Listening Implant: ez egy olyan eszköz, amely folyamatosan figyelemmel kíséri a hálózati adatforgalmat a 195-ös és a 444-es TCP portok vonatkozásában. XOR-kódolással ellátott üzeneteket kezel.
 
Lightweight Backdoor: ez a hátsó kapu létesítésére alkalmas összetevő szolgáltatásként fut a fertőzött számítógépeken, és képes egyebek mellett fájlok kiszivárogtatására, rendszerinformációk lekérdezésére, folyamatok manipulálására, de proxy kiszolgálóként is alkalmazható. Annak érdekében, hogy a hálózati kommunikációja minél biztosabb legyen, képes manipulálni az áldozatául eső rendszer tűzfalát, valamint UPNP (universal Plug and Play) révén hálózati eszközöket is megpróbál megkörnyékezni, és különféle portbeállításokat, -átirányításokat elvégezni.
 
Proxy Tool: ennek a komponensnek a célja, hogy a 443-as porton keresztül proxy-ként működjön. A feladatát egy konfigurációs állomány felhasználásával végzi. Képes rendszerinformációk összegyűjtésére, távoli parancsok fogadására és végrehajtására, valamint fájlok átvitelére.
 
Destructive Hard Drive Tool: a kártékony program legpusztítóbb építőeleme, amely a fertőzött számítógépekhez csatlakoztatott merevlemezek egyes területeit írja felül, valamint manipulálja az MBR-t (Master Boot Record). Ez utóbbi révén eléri azt, hogy a rendszer újraindításakor az adott merevlemezen további rombolás következzen be. Az eddigi vizsgálatok szerint a Windows 7 egyes esetekben túlélheti mindezt, de csak korlátozottan, csökkentett módban lehet elindítani, és csak addig, amíg a pusztítás tovább nem folytatódik.
 
Destructive Target Cleaning Tool: a végső döfést ez a modul adja meg az MBR teljes felülírásával és a számítógép használhatatlanná tételével.
 
Network Propagation Wiper: a kártékony program ennek az összetevőnek a segítségével terjed a helyi hálózatokban. Először feltérképezi az elérhető (“\\hostname\admin$” vagy “\\hostname\shared$”) megosztásokat, amelyekhez előre meghatározott felhasználónevek és jelszavak alapján igyekszik csatlakozni. Amennyiben ez nem sikerül, akkor parancssorból próbál megosztásokat létrehozni. Ha ekkor sikerrel jár, akkor átmásolja a saját állományát, majd szintén parancssori eljárásokkal elindítja azt a távoli gépen. Majd, mint aki jól végezte dolgát megszünteti a megosztást.
 
Noha biztosan még mindig nem lehet tudni, hogy pontosan mely károkozó kényszerítette térdre a Sony Pictures hálózatát és rendszereit, az biztos, hogy az elkövetők nem kizárólag adatlopással akartak károkat okozni, hanem jelentős, akár helyreállíthatatlan rombolással is.