0:45
20/12/2014

Z każdym dniem dowiadujemy się nowych informacji dotyczących incydentu, jaki miał miejsce w firmie Sony prawie miesiąc temu. Dziś ujawniono, że dane wykradane z Sony były wysyłane na serwer znajdujący się …w Polsce.

Historia wydarzeń

The Interview, film o zamachu na reżimowego przywódce sybolem zamachu na amerykańską firmę

The Interview, film o zamachu na reżimowego przywódce sybolem zamachu na amerykańską firmę


Przypomnijmy, że 24 listopada na monitorach pracowników Sony pojawił się komunikat od włamywaczy, którzy występując pod nazwą Guardians Of Peace, oznajmili, że wykradli firmie wszystkie dane, skasowali zawartość dysków twardych i zażądali spełnienia swoich postulatów, z których główny, jak się okazało dotyczył wycofania z kin filmu The Interview, jako godzącego w dobre imię Kim Dzon Una, przywódcy Korei Północnej.

Tu warto jednak nadmienić, że początkowo włamywacze chcieli pieniędzy i zarzucali firmie Sony Pictures rasizm — żądania dotyczące filmu The Interview po raz pierwszy w ich komunikacji z wytwórnią pojawiły się dopiero po 11 dniach od ataku, być może — jak sugerują niektórzy — dlatego, że same media stawiały takie hipotezy i to podsunęło włamywaczom pomysł na “ciekawszą zabawę”.

Aby pokazać, że nie żartują, włamywacze upublicznili w internecie kilka wykradzionych z serwerów Sony Pictures (i jeszcze niedystrybuowanch przez wytwórnię) filmów. W internecie pojawiły się też zrzuty skrzynek e-mail kadry zarządzającej, listy płac oraz zestawy loginów i haseł, a także pogróżki skierowane do pracowników wytwórni

Kilka dni temu Sony Pictures ugięło się pod żądaniami włamywaczy i postanowiło wycofać film z kin. Wytwórnia nie miała wielkiego wyboru, ponieważ niektóre z sieci kin już wcześniej odmówiły wyświetlania filmu w obawie przed zamachami (włamywacze poinformowali na Pastebinie, że jeśli jakieś kino wyemituje film, zrobią z niego to co terroryści zrobili z wież World Trade Center w dniu 11 września 2001 roku). Film nie ukaże się też na platformach VOD ani na DVD — niektórzy zauważają, że może to być nie tyle obawa Sony Pictures, a warunek otrzymania pełnej wypłaty z polisy ubezpieczeniowej, która działa tylko jeśli filmu nie da się dystrybuować w żaden sposób.

Korea Północna decyduje co pojawia się w amerykańskich kinach?

Korea Północna decyduje co pojawia się w amerykańskich kinach?

Do walki po stronie wytwórni włączył się nawet sam Barack Obama, który podczas konferencji prasowej oświadczył, że że Sony Pictures popełniło bład, wycofując film z kin i który grozi palcem Korei Północnej, zapewne zawierzając opinii FBI, które rzekomo posiada twarde dowody na to, iż Koreańczycy stoją za atakami. Są nimi zahardcodowane w malware adresy IP należące do infrastruktury, która brała już udział w innych przypisywanych Korei Północnej atakach oraz fakt, że jeden ze złośliwych plików skompilowano na komputerze z koreańskimi localami. Dodatkowo sam malware ma być bardzo podobny do tego, który w marcu poprzedniego roku miał zaatakować banki Południowej Korei (operacja “DarkSeoul”).

FBI zapomina chyba jednak, że elementy malware wykorzystane w atakach na Koreę Południową były oparte o komercyjny produkt “RawDisk” wykorzystywany jeszcze wcześniej, w operacji Shamoon skierowanej przeciw saudyjskiej Saudi Aramco, a przeprowadzanej rzekomo przez Iran, choć po błędach w kodzie autorstwo przypisuje się “jakimś hacktywistom-amatorom”.

Rickey udostępnia bardzo ciekawe zestawienie funkcji wszystkich zarówno malware’u użytego do ataku na Sony Pictures, Koreę Południową jak i saudyjskie firmy. Część z funkcji faktycznie się pokrywa — podobnie jak modus operandi sprawców: m.in. komunikacja nastawiona na media i prowadzona po angielsku, nawet jeśli atakujący i ofiara ataku nie używają tego języka, specyficzne, obrazowe nazwy grup włamywaczy użyte po raz pierwszy (i ostatni), kasowanie MBR-ów, użycie podobnych obrazków w komunikatach z żądaniami.

Na marginesie, ciekawą tezę dotyczącą tego kto może stać za włamaniem (i dlaczego) postawił David Robb. Uważa on, że za atakiem stoją …Chiny, które przygotowując się do negocjacji z Sony Pictures w sprawie współfinansowania części produkcji filmowych, już dawno “zhackowały” firmę w celu pozyskania informacji pozwalających na wynegocjowanie lepszych warunków. Później “wejście” do Sony miało zostać sprzedane innej grupie albo przez któregoś z chińskich rządowych hackerów “na boku”, albo oficjalnie wymienione przez Chińczyków w zamian za dostępy do innych firm.

Niezależnie od decyzji politycznych w sprawie ataku na Sony Pictures i kolejnych sprzecznych komunikatów włamywaczy, którzy właśnie informują, że są zadowoleni z postawy Sony Pictures, więc pozwalają jej jednak emitować film, ale tylko z wyciętą sceną śmierci Kim Dzon Una…, serwery wytwórni są analizowane przez specjalistów ds. bezpieczeństwa co ma pomóc zrozumieć atak na warstwie technicznej. I tu dopiero dzieją się ciekawe rzeczy…

Polski wątek

W opublikowanym dziś komunikacie amerykańskiego CERT-u dotyczącym “ataku na dużą firmę z branży rozrywkowej” (czyt. Sony Pictures) znajduje się ostrzeżenie przed robakiem, który przeprowadza ataki zgadywania haseł do zasobów SMB a dodatkowo posiada zdolności trojana, backdoora, serwera proxy i funkcję niszczenia dysku twardego… Brzmi znajomo?

Wykradane przez robaka dane są wysyłane co 5 minut na serwer “zarządzający”. CERT, oprócz porad jak wykryć robaka (listy MD5, sygnatury dla IDS-ów, itp.) wskazuje także kilka adresów IP serwerów zarządzających, z którymi robak periodycznie się łączy. Jeden znajduje się w Polsce (zresztą informacje na temat jego udziału w incydencie krążyły od co prawie 3 tygodni):

Lista serwerów na które wypływały dane wykradane z Sony Pictures

Lista serwerów na które wypływały dane wykradane z Sony Pictures

Polski IP to 217.96.33.164, zarządzany przez INTER-PARTS IMPORT EKSPORT WALDEMAR BACLAWSKI, mieszącą się na UL. Jarzębinowej 4 w Stawigudzie (koło Olsztyna). Wszystko wskazuje na to, że jest to przejęty przez włamywaczy serwer. Jeszcze do niedawna stał na nim IIS7.

Kto stoi za atakami?

Tego nie wiadomo. Chiny? Północna Korea? A może to tylko “fałszywe tropy”? Doskonale przecież wiemy, że jeśli ktoś chce w internecie podszyć się pod jakiś kraj, może to łatwo zrobić…

Przyjrzyjmy się jednak atakującym. Opublikowane przez nich zrzuty skrzynek mailowych zdradzają, że na 3 dni przed sparaliżowaniem siedzib Sony Pictures, managerzy tej firmy otrzymali e-maila proszącego o pieniądze. Nie było w nim ani słowa o żądaniu zaprzestania dystrybucji filmu ani odwołań do Północnej Korei… Sami atakujący podpisali się wtedy jako God’sApstls a nie #GOP (jak w późniejszych wiadomościach).

Zresztą z grupą #GOP przeprowadzono wywiad, z którego wynika, że jej członkami są hacktywiści z wielu krajów, a celem ich ataku wcale nie jest zablokowanie dystrybucji konkretnego filmu, a coś “poważniejszego”:

“We are an international organization including famous figures in the politics and society from several nations such as United States, United Kingdom and France. We are not under direction of any state. Our aim is not at the film The Interview as Sony Pictures suggests. But it is widely reported as if our activity is related to The Interview. This shows how dangerous film The Interview is. The Interview is very dangerous enough to cause a massive hack attack. Sony Pictures produced the film harming the regional peace and security and violating human rights for money. The news with The Interview fully acquaints us with the crimes of Sony Pictures. Like this, their activity is contrary to our philosophy. We struggle to fight against such greed of Sony Pictures.”

Najświeższe wypowiedzi włamywaczy są jednak sprzeczne. Jedne informują o tym, że są oni zadowoleni z postawy Sony (która wycofała się z dystrybucji filmu) więc pozwalają jej na jego dystrybucję o ile wycięte zostaną sceny śmierci wodza Korei Północnej …z drugiej jednak strony, media donoszą że niektórzy z członków zarządu Sony Pictures otrzymali kolejną wiadomość w której włamywacze chwalą sony za decyzję o wycofaniu filmu dystrybucji i wyrażają nadzieję, że nigdy i nigdzie się nie pojawi… Czyżby ktoś zaczął się podszywać pod #GOP i troluje media? Włamywacze niestety nie podpisali swoich wiadomości kluczem GPG, nie można więc potwierdzić kto rzeczywiście stoi za tymi komunikatami i czy jest to wciąż ta sama grupa która dokonała włamania do wytwórni.

A więc nie pozostaje nam nic innego, jak zrobić krótką ankietę:

[poll id=”47″]

PS. Panika jaka udzieliła się firmie Sony Pictures przechodzi na innych producentów, którzy także podejmują decyzje o wstrzymaniu prac nad tworzeniem filmów dotyczących Korei Północnej… Tak na wszelki wypadek wycofano się z produkcji fimu Pyongyang. To się nazywa cyberterroryzm strach!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

49 komentarzy

Dodaj komentarz
  1. No i mamy winnego. Do diabła z taką ankietą… oh, wait…

  2. Wyniki ankiety nie zostawiają wątpliwości co do tego kto zchakował Sony.

  3. http://whatismyipaddress.com/ip/217.96.33.164 skoro mozna sprawdzic to niech sprawdzaja :-p

    • zapomniałeś zmienić nick na “troll”

  4. Kto wiatr sieje, zbiera burzę,
    no i
    kto mieczem wojuje, od miecza ginie.
    :-)

    • Kto je obiad ten robi… oh shit…

  5. Czy logo niebezpiecznika to nie jest szatan?…..

    • Przypadek? Odpowiedz sobie sam!

  6. Nie pozostaje redakcji nic innego jak wysłać wynik ankiety do Stanów :-)

  7. ‘Szatan’ to USA ?

  8. A według mnie to Rosja (Być może z Chinami, ze względu na unię)

    • A według mnie to USA z tego samego względu (Rosja-Chiny)

    • Ze względu na “wątek Irański” – USA albo ZSRR dawnej… Oh wait. Stanowisko “małego szatana” dostał w spadku Izrael.

      Dla nie wiedzących o co kaman – wikipedia:
      “Dla niektórych fundamentalistów muzułmańskich, zwłaszcza w Iranie, Wielki Szatan to określenie Stanów Zjednoczonych, a Mały Szatan – Izraela.”

      Fajny odsiew niepoważnych komentarzy tak swoja drogą.

  9. Ja widzę to sytuacje w ten sposób:
    https://www.youtube.com/watch?v=lvMfBsY3oZk

    • Wersja z dubingiem, obrzydliwe.

  10. stawiam dychę że “atak” był od wewnątrz

  11. Skoro jeden z IP-ków prowadzi do Polski to pewnie Kowalski. Do spółki ze Skiperem i Królem Julianem;) Tym bardziej że inny jest z US, ja bym sprawdził czy to nie ZOO w Central parku ;)

    • Mistrzowski komentarz :D

    • To te pingwiny! Złapię je, zobaczycie. Słyszycie? SŁYSZYCIE???!

  12. K…. wiedziałem, że nie trzeba było przyjmować oferty Waldka.

  13. Jetę ekspertę to się wypowiem. To był Komorowski. Załatwił sprawę jednym telefonem tak jak odkodowanie Polsatu.

  14. Ja :)

  15. Mi śmierdzi kampanią reklamową, filmy ok. 30% budżetu wydają na reklamę, a teraz mają ją za darmo.

    • A sprawdziłeś geniuszu o ile spadły akcje sony przez ostatnie dni?

    • Akcje sony od 2 lat są w trendzie wzrostowym, że wczoraj spadły o 1% to jest normalna kolej rzeczy, geniuszu.

    • Numery SSN są prawidłowe, to nie jest akcja marketingowa.

  16. 1.Po raz kolejny obama potwierdził że jest babą, która potrafi tylko wydawać setki mld $ na dręczenie biednych piratów którzy kradną pornole biednym nagim gwiazdeczkom a boją sie paru marnych hakerów – lol
    2.A gdyby zagrozili zamachami każdemu państwu które nie kupi od nich towarów za minimum 1 bilard każdy ? to co ? zaczniemy kupować bo boimy się skośnookich – od dziś przestaję oglądać azjatyckie filmy w formie protestu albo nie – zacznę na złość ściągać i rozpowszechniać filmy z bruce lee
    3.Paradoksalnie – teraz zwiększy się chęć ludzi do oglądnięcia tego filmu :_)

  17. Mysle ze to byl taki Pawel. zaraz jak wrocil z biedronki.

  18. Co to za kraj Cypress? ;)

    • Ten kraj to…
      Rosja.

  19. Mysle, ze jakas grupa bardzo inteligentnych ludzi robi sobie jaja ze wszystkich. Watpie by Korea miala z tym cos wspolnego.

    • Dokładnie też tak sądzę. Korea ze swoją propagandą i swoistą logiką, robiłaby z siebie durnia walcząc z filmem z USA – szczególnie że w Korei Północnej filmu tego nie zobaczą, ani nawet nie będą mieć szansy na to – a ci co jednak zobaczą dostaną wraz z rodziną kulkę albo w najlepszym razie obóz. Zatem czy jest sens walczyć z czymś co w ich realiach nie będzie istnieć? Myślę że tam też są na tyle kumaci, że wiedzą że spora reszta świata uważa ich przywódce za [tu sobie można podstawić], więc walka z tym nie miałaby większego sensu. Zaś wykorzystanie animozji Korei Północnej i USA to dobre posunięcie – wiadomo że USA z tego powodu na Koreę nie napadnie, ani też że Korea nie wypowie wojny USA a nawet jeżeli tak to nic z tego nie wyniknie no może poza ostrzelaniem rakietami kawałka morza w strefie przygranicznej. Jest wtopa Sony, są wymierne straty, nie ma sprawców – tzn są ale właściwie nieosiągalni. Pytanie kto na tym skorzystał?

  20. FBI potwierdziło oficjalnie że włamania na serwery SONY dokonali sprawcy z Korei Północnej ( na razie bez przedstawiania dowodów ).
    Nie wypada nie wierzyć FBI, oni czasem konfabulują, ale zawsze stoi za tym ważny interes i bezpieczeństwo narodowe.
    Każdy kto ośmiela się mieć inne zdanie może spodziewać się wezwania do Starych Kiejkut na niezapomniane spotkanie z Alfredą Frances Bikowsky.

  21. Właśnie wróciłem z Biedronki i mówili tam że zostało użyte tam malware
    “Wipall backdoor”

    Tak przy okazji serwer od tego pana IIS7 został sprawdzony czy podrostu Pan zrobił format.

  22. Może warto posłuchać fachowca :
    A presentation by a former NSA analyst revealed it’s feasible for the NSA to hack a large corporation, such as Sony Pictures, and blame it on a foreign country such as North Korea.
    Charlie Miller, who spent five years exploiting foreign computers for the NSA, gave a presentation entitled Kim Jong-il and Me: How to Build A Cyber Army to Attack the U.S. in which he explained various hacking methods and how easy it was to blame an attack on another country.
    His presentation largely relied on his experience at the NSA.
    Defcon 18 – Kim Jong il and me – How to build a cyber army to defeat the U S – Charlie Miller

  23. Jak ktoś lubi spoilery / nie ma zamiaru oglądać filmu, to tu zakończenie: http://i.imgur.com/Pr7nITE.gif http://new3.fjcdn.com/comments/Boom+shakalaka+_fd33a633c8c76ab8cbbc2cb056816c79.webm

  24. Nie wiem kto zhakował Sony i nie ma to większego znaczenia. Istotny jest sam tego fakt – Sony od dawna ma problemy z bezpieczeństwem. Poczynając od “hakowania” konsol by dało się grać w pirackie gry, przez PSN i teraz to. Wydawałoby się, że taka duża firma, czy raczej korporacja o zasięgu globalnym będzie miała odpowiednich ludzi na odpowiednich stanowiskach. Smutne to trochę.

  25. A ja podejrzewam hakera Bonzo w końcu to on się przyznał że zakładał hasło na płyty główne ^^ Nie ma jego w ankiecie to nie głosowałem :)

  26. I tutaj wychodzi to, że Sony nie ma bug bounty. Sam znalazłem jeden błąd w ich sofcie (w ich wersji andka na xperie), jednak nie ma gdzie nawet tego zglosic.

  27. Warto by dodać, ze właśnie w odwecie odcięto Koreę Północną od internetu.

  28. […] i oświadczył (na bazie raportu FBI), że za atakami stoi Korea Północna, a Stany Zjednoczone odpowiedzą na ataki “proporcjonalny sposób”. Wczoraj wieczorem Korea Północna znikła z internetu — czy to właśnie ta […]

  29. Tak jak za najpierw porwaniem, później strąceniem Malezyjskich boeingów, by sprowokować konflikt, moim zdaniem stoi Mossad (ew. służby Chińskie), tak tutaj stawiam jak najbardziej na Mossad, gdzie jest najbardziej prawdopodobnym możliwość zinfiltrowania wszystkich krytycznych placówek. Stanowiska zarządzające są z reguły piastowane przez syjonistów, tak więc sprawa infiltracji nie jest jakąś abstrakcją. Celem może być zaognienie konfliktu na świecie w ramach nowego porządku świata, korzystając z zasady – “gdzie dwóch się bije, tam trzeci korzysta”, oraz z motta Mossadu “by the way of deception, thou shalt do war”.

  30. No i zgadnijcie kto w ankiecie uzyskał 66% głosów? ;) Brakuje jeszcze paru promili :P

  31. Jeden z największych autorytetów ds. bezpieczeństwa Bruce Schneier mocno wątpi, że Korea dokonała ataku. There is NOTHING here that directly implicates the North Koreans: https://www.schneier.com/blog/archives/2014/12/more_data_on_at.html

  32. Kolejna paczka Snowdena mówi o tym, że NSA miało dostęp do nich od dawna i dlatego z taką pewnością oskarżyli Koreę Północną.
    http://www.engadget.com/2015/01/19/nsa-hacked-first-sony-north-korea/
    Co myślicie?

  33. […] Niezależnie od tego, kto stoi za atakami, na pewno znów wiele osób znów będzie wątpić w informacje od FBI, podobnie jak było to w namierzaniu atakujących, którzy włamali się do firmy Sony Pictures a nas…. […]

  34. […] każdego kraju, ale trudno jest ustalić ich prawdziwe źródło”. Krótko mówiąc, jak zawsze, nie można być pewnym kto faktycznie stał za atakiem, a rzucanie oskarżeń bez pokazania […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: