Ponad 30 tysięcy plików skradzionych Sony Pictures już w sieci

dodał 2 grudnia 2014 o 16:03 w kategorii Włamania  z tagami:
Ponad 30 tysięcy plików skradzionych Sony Pictures już w sieci

Kilkanaście godzin temu spełniła się groźba włamywaczy, którzy zaatakowali Sony Pictures. W sieci znalazło się archiwum o rozmiarze 25GB, zawierające dziesiątki tysięcy plików, w tym poufne dane firmy pochodzące z działów kadr, marketingu czy sprzedaży.

Linki do opublikowanego w kilku miejscach archiwum pojawiły się wczoraj w serwisie Pastebin. Wśród ponad 30 tysięcy dokumentów, pochodzących najwyraźniej z korporacyjnego serwera plików, znaleźć można absolutnie wszystkie informacje przetwarzane przez dużą korporację. Przeważają dane kadrowo-płacowe takie jak pensje, urlopy, delegacje, rekrutacje, ubezpieczenia, rozliczenia delegacji czy rachunki. Oprócz tego w gąszczu kilku tysięcy folderów można znaleźć setki prezentacji, tysiące arkuszy kalkulacyjnych, notatki ze spotkań, preliminarze wydatków, zestawienia kosztów, materiały promocyjne, umowy, opłaty licencyjne, sprawozdania ze sprzedaży i tysiące innych przykładów tego, ile dokumentów potrafi wytworzyć sprawna machina biurokratyczna. W sieci pojawiła się już nawet analiza firmowej listy płac, wskazująca, że najlepiej zarabiają w niej starsi biali mężczyźni.

Klasyk gatunku czyli pliki z hasłami

Wśród opublikowanych danych nie mogło zabraknąć klasyka wszech czasów, czyli pliku passwords.doc (przechowywanego w katalogu passwords).

Plik passwords.doc

Plik passwords.doc

Obecność i treść tego pliku chyba najlepiej świadczy o kulturze bezpieczeństwa informacji panującej w firmie. Nie brakuje także materiałów związanych ze sztandarowymi produkcjami Sony Pictures jak np. serialem Blacklist:

Folder z materiałami dot. Blacklist

Folder z materiałami dot. Blacklist

Według oświadczeń autorów włamania to dopiero początek wycieku.

Wątek Korei Północnej absurdalny, lecz o dziwo możliwy

Kiedy serwis re/code opublikował spekulacje na temat możliwego zaangażowania Korei Północnej w atak na Sony Pictures w sieci dominowało niedowierzanie. Rzekomą motywacją atakujących miał być film „The Interview”, opisujący próbę zamachu na Kim Jong-Una w konwencji komedii. Brzmi absurdalnie, prawda? Tymczasem okazuje się, że pojawiły się pierwsze dowody wskazujące na związek pomiędzy atakiem na Sony Pictures a zeszłorocznymi atakami na organizacje medialne i finansowe w Korei Południowej.

Jak informuje Wall Street Journal w poniedziałek FBI rozesłało do wielu firm informacje o tym, jakich śladów złośliwego oprogramowania można szukać w swojej sieci w związku z włamaniem do Sony. To dość popularna praktyka – w oparciu o sygnatury zidentyfikowanego ataku (tzw. indicators of compromise) takie jak sumy kontrolne plików czy też adresy IP atakujących można próbować zlokalizować inne ofiary. FBI wskazuje w swoim komunikacie na złośliwe oprogramowanie niszczące zapisy na twardych dyskach w sposób utrudniający ich odzyskanie. Oprogramowanie to ma podobno być bardzo podobne do tego, które zostało użyte w atakach na instytucje w Korei Południowej w marcu 2013.

Aktualizacja 2014-12:02 21:00
Brian Krebs zdobył kopię notatki FBI. Wskazuje ona na 3 adresy IP, z którymi łączy się złośliwe oprogramowanie – jeden z nich, 217.96.33.164, znajduje się w Polsce i jest to serwer, który także padł ofiarą włamywaczy. Oprócz tego Brian wskazał także na analizę jednej z próbek złośliwego oprogramowania, która odpowiada opisowi FBI.

Mandiant szuka Chińczyków

Jak donosi Agencja Reutera, oprócz FBI, które bada włamanie, Sony Pictures zdecydowało się zatrudnić firmę Mandiant (a w zasadzie FireEye, które jest od niedawna jej właścicielem) do analizy skutków oraz usunięcia włamywaczy z sieci firmy. Mandiant to jeden z największych graczy na tym rynku, znany jest z z wykrywania sprawców ataków APT, którymi zawsze okazują się Chińczycy. Pojawiły się też już żarty mówiące, że rachunek od Mandianta będzie większy niż wszystkie straty Sony Pictures związane z atakiem – ale może okazać się to nietrafioną prognozą.

Faksy i prywatne konta Gmail, czyli plan kryzysowy

W obliczu zmasowanego ataku i potencjalnej infekcji wszystkich urządzeń w firmie, Sony Pictures podjęło zdecydowane kroki. Zaczęło od wyłączenia serwerów i stacji roboczych. W ten sposób wyłączyło także korporacyjną pocztę elektroniczną – ruch dość śmiały i rzadko spotykany. Pracownicy otrzymali informację o zakazie włączania sprzętu, korzystania z sieci WiFi oraz prób zdalnego łączenia się z firmą. Aby umożliwić choć częściowe funkcjonowanie firmy, pracownicy zaczęli korzystać ze swoich prywatnych skrzynek pocztowych (głównie Gmail) a kluczowe informacje (np. loginy i hasła do tymczasowych zasobów uruchomionych awaryjnie) przekazywane są wyłącznie w drodze rozmowy telefonicznej. Co starsi stażem uruchomili także faksy…

Ostrzeżenie na windzie w Sony Pictures

Ostrzeżenie na windzie w Sony Pictures

Trollowanie dziennikarzy nigdy nie było takie proste

Ciekawym wątkiem historii jest także oryginalny wyciek, zawierający listę plików należących do Sony Pictures. Wraz z nim włamywacze opublikowali listę adresów poczty elektronicznej, pod którymi można się z nimi skontaktować.

Kawał polega na tym, że wszystkie podane adresy to anonimowe skrzynki tymczasowe, na które zalogować się może każdy internauta. Co prawda w skrzynkach w domenie yopmail.com nie widać żadnych wiadomości, to pod adresami z domeny spambog.com można znaleźć sporo korespondencji. Przeważają oczywiście wiadomości o treści „prześlij mi pliki proszę proszę proszę”, ale można także znaleźć prośby o wywiady od dziennikarzy:

Prośba o wywiad

Prośba o wywiad

Trzeba też przyznać, że nie jest to prośba odosobniona.

Prośby dziennikarzy

Prośby dziennikarzy

Pozostaje tylko czekać, aż ktoś dziennikarzom odpisze, wykorzystując do uwiarygodnienia swojej historii materiały z kolejnego wycieku