Atak na Sony był bardziej niebezpieczny niż sądziliśmy. Wszystko co wiemy o incydencie

25 listopada pracownicy Sony Pictures przeżyli szok. Ich komputery zostały zaatakowane przez grupę cyberprzestępców ukrywanych się pod nazwą GOP (Guardians of Peace, z ang. Strażnicy Pokoju). Atakujący nie mieli jednak pokojowych zamiarów. Szybko okazało się że chcą przede wszystkim jednego: wycofania filmu szkalującego przywódcę Korei Północnej.

Nikt by się tymi żądaniami nie przejął gdyby nie ostateczna groźba: wycofajcie ten film z kin, albo dokonamy zamachów w stylu z 11 września. Dali też dowód na to, że mogą wymusić określone decyzje: przesłali do mediów próbki przejętych e-maili i innych poufnych danych, które mogłyby Sony skompromitować lub narazić na straty finansowe.

Zarówno Sony, jak i operatorzy amerykańskich kin postanowili nie ryzykować. Obraz, który właśnie wchodził na ekrany został zdjęty. Nikt nie chciał wziąć na siebie odpowiedzialności za ewentualne ofiary.

Jak jednak w ogóle doszło do tego ataku i jakie są jego konsekwencje?

Nie po raz pierwszy

Warto przypomnieć, że firma Sony padała już ofiarą takich ataków. Wszystko zaczęło się w roku 2011, gdy firma postanowiła pociągnąć do odpowiedzialności karnej młodego Georga Hotza (znanego jako geohot), który złamał zabezpieczenia Playstation 3. W wyniku ataku usługa sieciowa Playstation Network była niedostępna przez niemal miesiąc, co kosztowało firmę 20 mln dol. Sony stracił też dane 77 milionów użytkowników. Całkowity koszt śledztwa, rekompensat, kar finansowych i odbudowy zabezpieczeń mógł pochłonąć aż 24 miliardy dolarów.

Jaki jest powód ataku?

"The Interview" (w polskiej wersji "Wywiad ze Słońcem Narodu"), władze Korei Północnej uznały w zasadzie za akt wypowiedzenia wojny. Produkcja budzi oburzenie w Pjongjangu, bo opowiada o dwóch dziennikarzach zwerbowanych przez CIA do zabójstwa Kim Dzong Una.

Sony pod ścianą

Listopadowy atak na Sony był więc zaskoczeniem. Spodziewaliśmy się, że firma, która już wpadła w tego typu problemy odpowiednio się zabezpieczyła. Niestety - specjaliści od zabezpieczeń analizujący przebieg ataku chwytają się za głowy.

Agencja Bloomberg, powołując się na specjalistów z firmy Trend Micro, twierdzi, że cyberprzestępcy do ataku użyli odpowiednio zmodyfikowanego, dostępnego na czarnym rynku oprogramowania. Sieć Sony musieli penetrować niezauważeni przez co najmniej kilka miesięcy. Bloomberg uważa że pokonanie zabezpieczeń Sony z pomocą starego oprogramowania jest szczególnie kompromitujące.

Eksperci do spraw bezpieczeństwa wyjaśnili nam, że hakerzy potrzebują do ataku całej serii ataków, coraz bardziej wyrafinowanych i drogich. Zabezpieczenia Sony okazały się na tyle słabe, że nie było to potrzebne. - pisze Bussines Insider.

Ci, którzy włamali się do Sony znali bardzo dokładnie strukturę sieci. Dlatego z taką łatwością, przy pomocy zmodyfikowanego wirusa, pozyskali wszystkie niezbędne loginy i hasła.

To nasuwa pytania: w jaki sposób atakujący poznali szczegóły dotyczące sieci Sony? Czy pomagał im ktoś wewnątrz? Nimrod Kozlovski z izraelskiej firmy VC zajmującej się bezpieczeństwem cyfrowym, cytowany przez Buzz Feed , stawia dość ostrą diagnozę:

"Oni wiedzieli więcej o Sony, o jego słabościach niż potrzebowali widzieć".

Atak na Sony miał filmowy przebieg. Atakujący użyli czegoś na wzór bomby zegarowej. 10 minut przed ostatecznym przejęciem kontroli nad komputerami nastąpił proces zaplanowanego wyłączania systemu zabezpieczeń, uzyskiwania dostępu do dysków, serwerów i sieci. Komunikat, który zobaczyli prawnicy Sony na ekranach swoich komputerów był tylko ostatnim akordem długo przygotowywanej akcji.

Fot. Imgur

Brak bezsprzecznych dowodów

Sony wydaje się być całkowicie bezradnym wobec poczynań cyberprzestępców. "The New York Times" twierdzi, że wciąż kontrolują oni komputery filmowego giganta.

USA nie potrafią w tej chwili nikomu udowodnić winy. Portal Zaufana Trzecia Strona kpi z "koronnego dowodu" opublikowanego przez "Wall Street Journal":

Administracja rządowa w USA stoi twardo na stanowisku, że wszystkie dowody we włamaniu do Sony Pictures wskazują na Północną Koreę. "Wall Street Journal właśnie" opublikował najmocniejszy dowód ze wszystkich. Dowód tak mocny, że spadliśmy z krzesła i notatkę piszemy z podłogi.
"Jak podają dwie osoby zaznajomione ze śledztwem, śledczy odkryli, że w jednym przypadku złośliwe oprogramowanie w systemach Sony próbowało połączyć się z adresem IP w Korei Północnej. We wszystkich pozostałych przypadkach złośliwe oprogramowanie łączyło się z punktami przesiadkowymi w losowych krajach."
Wychodzi na to, że ze wszystkich krajów świata tylko Korea Północna jest nielosowa
PS. By otworzyć artykuł WSJ bez potrzeby logowania się wystarczy wejść na niego z linka z Google

Są jednak pewne tropy, które wskazują na winę Koreańczyków. Pisaliśmy o nich kilka tygodni temu :

"Wall Street Journal" poinformował, że śledczy pracujący nad atakiem odnaleźli pewne ślady w użytym do ataku kodzie. Był niemal identyczny jak ten, za pomocą którego włamano się w zeszłym roku do kilku południowokoreańskich banków. Stąd wniosek - Sony zostało zaatakowane przez cyberprzestępców działających na zlecenie władz Korei Północnej.

Polski wątek

O tym, jak łatwo stać się "hakerem" przekonał się jeden z polskich przedsiębiorców. Jak podaje Niebezpiecznik.pl analiza logów dowiodła, że niektóre komendy służące do przeprowadzenia ataku zostały przeprowadzone z serwera znajdującego się w okolicach Olsztyna. Wydaje się pewne, że niczego nieświadomy właściciel stracił kontrolę nad swoją maszyną.

Barack Obama interweniuje

Decyzję Sony o wycofaniu filmu "Wywiad ze Słońcem Narodu" z kin skrytykował prezydent USA Barack Obama. Uznał, że nigdy nie można ulegać terrorowi. Zapowiedział też reakcję na atak, choć nie bardzo sobie wyobrażam, jak taka odpowiedź miałaby wyglądać. Myślę, że pierwszym krokiem powinna być pomoc w odzyskaniu przez Sony kontroli nad własnymi komputerami...

Sony nie radzi sobie z kryzysem

Niestety Sony kompletnie nie potrafi poradzić sobie z sytuacją. Po pierwsze nie jest w stanie oczyścić swoich komputerów z oprogramowania hakerów. Nie był też w stanie, pomimo wcześniejszych ataków, zapobiec całej sytuacji. To, że do ataku nie użyto żadnej specjalnie wyrafinowanej metody można uznać za kompromitację i beztroskę.

Po drugie firma atakuje media żądając zaprzestania publikowania wykradzionych podczas ataku informacji, maili. Grozi przy tym procesami sądowymi, dając dowód na to, że nie umie przeciągnąć mediów na swoją stronę. Nie tędy droga.

"Business Insider" zauważa , że ulegając groźbom cyberprzestępców Sony ustanawia groźny precedens, zachęca do kolejnych ataków. Inne wytwórnie już ulegają panice: Paramount nakazuje wstrzymanie emisji Team America - w filmie również naśmiewają się z Korei Północnej. New Regency wstrzymuje plany kręcenia filmu, którego akcja toczy się w tym kraju.

Gigant nie robi przede wszystkim rzeczy najważniejszej: nie wykorzystuje siły internetu, mediów społecznościowych. Film nie trafił do kin, ale przecież można by z łatwością rozpocząć jego dystrybucję w serwisach takich jak Netflix czy Hulu. Mógłby trafić w przyspieszonym trybie do internetowych wypożyczalni YouTube, Google, Apple. Film, który stał się przyczyną kryzysu mógłby stać się symbolem: nie zamkniecie nam ust, nie pokrzyżujecie nam planów.

Sony ma jednak powody, by filmu nie dystrybuować w żadnej formie.

KCNA/REUTERS

Nie sprawiajcie kłopotów, bo was zniszczymy

Listopadowy atak na Sony z pewnością nie będzie ostatnim. Po pierwsze wygląda na to, że pomiędzy firmą a ciemnymi siłami internetu toczy się regularna wojna. Atakujący będą chcieli udowodnić, że Sony jest bezsilne.

Do jednego z szefów spółki trafił już e-mail zwiastujący dalsze kłopoty:

"Decyzja o wycofaniu "The Interview" z kin była bardzo rozsądna. Będzie dla was pożyteczna. Zapewniamy bezpieczeństwo waszych danych, chyba, że będziecie sprawiać kłopoty"

GOP "zakazuje" Sony dystrybucji "The Interview" w jakiejkolwiek formie. W innym mailu wysłanym do TheWrap czytamy:

"Teraz żądamy, by ten film nigdy nie został dystrybuowany w jakiej formie - na przykład jako DVD czy poprzez "wyciek do internetu. [... ] Żądamy też, by wszystko co związane jest z filmem, włączając w to trailery i pełne wersje, zniknęło z każdego serwisu, na którym jest przechowywane."

Fot. Youtube.com

Co dalej?

Atak na Sony jest bardziej groźny, niż moglibyśmy sądzić. Cyberprzestępcy dowiedli, że mogą zrobić coś, co przyniesie realne konsekwencje. I to dla nas, zwykłych ludzi. Wcześniej tego typu wojny raczej nas nie dotykały. Tak było w przypadku robaków Stuxnet i Flame wymierzonych w infrastrukturę państwową czy też wojskową.

Sony zapewne nie dopuści do emisji filmu "Wywiad ze Słońcem Narodu", bo nie wie jakie dane mają cyberprzestępcy. Firma znalazła się więc w sytuacji, w której bez względu na to co zrobi wpadnie w jeszcze większe kłopoty. Jeśli film trafi na półkę przestępcy znów zaatakują, bo przecież raz udało się już osiągnąć określony cel. Jeśli film trafi do odbiorców konsekwencje dla Sony mogą być nieobliczalne.

Aktualizacja

Reuters informuje o zaskakującej propozycji władz Korei Północnej. Zaproponowały one Stanom Zjednoczonym wszczęcie wspólnego śledztwa w celu zbadania, kto stoi za atakami na Sony.

Jeden z rzeczników północnokoreańskiego ministerstwa spraw zagranicznych, którego nazwiska nie ujawniono, oświadczył, że wystąpią "poważne konsekwencje", jeśli Waszyngton odmówi podjęcia wspólnego dochodzenia i nadal będzie oskarżał Koreę o przeprowadzenie ataku.

Niestety sprawa jest o tyle zagmatwana, że nie wiemy, czy to faktycznie osoby odpowiedzialne za atak kontaktują się teraz z mediami i Sony. Atakujący "nie zadbali" o to, by komunikację odpowiednio zakodować, a tym samym podpisać. Dziś w tej sprawie niewiele wydaje się pewne...