Эксперты обнаружили несколько явных несоответствий в официальном заявлении ФБР США о причастности КНДР к кибератаке.
История, касающаяся взлома серверов компании Sony, близится к завершению. ФБР США уже установило, что атака была совершена северокорейскими хакерами, предположительно связанными с правительством КНДР. В то же время Sony все же согласилась выпустить фильм «Интервью», в котором двое американских журналистов должны убить лидера КНДР Ким Чен Ына, в некоторых кинотеатрах, а также показать его на YouTube. Напомним, что именно из-за этой киноленты хакеры и осуществили нападение на серверы компании.
Как сообщает исследователь безопасности CloudFlare и руководитель отдела безопасности хакерской конференции DEF CON Марк Роджерс (Marc Rogers) изданию The Daily Beast, Северная Корея все же не имеет отношения к атаке на Sony. К такому выводу он пришел, изучив материалы ФБР США и проведя собственный анализ ситуации.
По словам Роджерса, в бюллетене ФБР указывается, что технический анализ вредоносного ПО, использованного для атаки на Sony, обнаружил высокую схожесть вредоносов с теми, которые ранее использовались северокорейскими хакерами. Специалист подчеркнул, что схожесть не обязательно означает, что атаку проводили одни и те же киберпреступники. К тому же, код вредоносного ПО проверялся на сходство с Shamoon и DarkSeoul – вредоносами, использовавшимися в атаках на стратегические объекты Южной Кореи, которые якобы совершили специалисты КНДР. Тем не менее, многие эксперты оспаривают причастность Северной Кореи к этим взломам. Более того, исходный код Shamoon уже достаточно давно находится в открытом доступе, в связи с чем любой киберпреступник мог внести в него свои модификации и представить в виде нового вредоносного ПО.
Роджерс также раскритиковал заявление ФБР о том, что во время взлома Sony ведомство наблюдало повышенную нагрузку на объекты сетевой инфраструктуры, которые ранее использовались в осуществляемых КНДР атаках. Более того, в коде вредоноса было обнаружено несколько IP-адресов, которые ранее якобы использовались КНДР в преступных целях. Эксперт отметил, что все адреса ведут на открытые прокси-серверы, расположенные в различных государствах. Таким образом, даже если северокорейские хакеры когда-либо использовали один из этих серверов, это не значит, что они вновь воспользовались их услугами.
Вместе с этим Роджерс обнаружил достаточно интересный факт – в начале кампании по взлому Sony хакеры никогда не упоминали фильм «Интервью», из-за которого якобы и была осуществлена атака. Киберпреступники обратили внимание на киноленту только после того, как некоторые издания предположили, что именно она является причиной атаки. Более того, хакеры опубликовали похищенную у Sony информацию в открытом доступе, что нехарактерно для информационной политики Северной Кореи. Таким образом, атака на Sony носит явно неполитический характер – киберпреступники хотели лишь опорочить репутацию компании, а также нанести ей финансовый ущерб.
И мы тоже не спим, чтобы держать вас в курсе всех угроз