Власти США уверены в причастности Северной Кореи к кибератаке на Sony

Американские чиновники пришли к выводу, что Северная Корея играла «центральную роль» во взломе корпоративной сети кинокомпании Sony Pictures.

Взлом привел к серьезным для компании последствиям — настолько, что ей даже пришлось отменить выход комедии «Интервью», сюжет которой закручен вокруг убийства высшего руководителя Северной Кореи. Предполагается, что именно этот фильм стал причиной хакерской атаки на Sony.

Sony сдалась после того, как хакеры стали угрожать ей повторными атаками, возможно, уже на кинотеатры, если «Интервью» поступит в прокат.

Высокопоставленные чиновники рассказали The New York Times, что в Белом доме обсуждают возможность публичного обвинения Северной Кореи в кибертерроризме.

Другие должностные лица говорят, что прямой конфликт — это именно то, чего хочет Северная Корея. В Японии отмечают, что публичные обвинения, поводом для которых стала атака на компанию японского происхождения, могут повлиять на дипломатические переговоры о возвращении находящихся в Северной Корее японских граждан.

Правительство «рассматривает ряд вариантов, взвешивая потенциальный ответ», говорит пресс-секретарь Совета национальной безопасности Бернадетт Михан.

Необходимость быстро принять решение возникла после новой угрозы: в сообщении, поступившем на компьютеры в офисе Sony, говорится, что если релиз «Интервью» состоится 25 декабря, «мир наполнит страх». «Вспомните 11 сентября 2001 года. Мы рекомендуем вам держаться подальше от таких мест в это время».

Неизвестно, каким именно образом в США определили причастность Северной Кореи к атакам на Sony.

В атаке на Sony использовались и распространенные инструменты для кибератак, и более изощренное ПО. Один из специалистов рассказал The New York Times, что атака была настолько сложной по исполнению, что еще год назад о ней сказали бы, что подобный взлом не по силам Северной Корее.

Взлом сети Sony имеет общие черты с атаками, состоявшимися в Северной Корее и Саудовской Аравии несколько лет назад.

Атаки на Sony были проложены от командно-контрольных центров, расположенных по всему миру, в том числе на территории конференц-центра в Сингапуре и Университета Таммасат в Бангкоке. Один из серверов, расположенный в Боливии, также использовался в кибератаках на Южную Корею два года назад. Из этого исследователи делают вывод, что за атаками могла стоять та же группа людей, что и за атакой на Sony.

Зловредное ПО, которое хакеры использовали для взлома серверов кинокомпании, во многом схоже с программами, использовавшимися для атак на южнокорейские банки и вещательные компании, которые, по мнению экспертов, провела банда киберпреступников «Темный Сеул».

Тем не менее специалисты по кибербезопасности отмечают, что нельзя исключать, что этот взлом является только подражанием «Темному Сеулу».

Кроме того, хакеры использовали вредоносное ПО для удаления данных, которое было задействовано в атаке на национальную нефтяную компанию Саудовской Аравии Saudi Aramco, когда хакеры удалили данные с 30 тыс. компьютеров компании, заменив ее изображением горящего американского флага.

Экспертам по кибербезопасности не удалось отследить источник этих атак, хотя американские эксперты отмечали: атаки шли от Ирана, использовавшего инструменты, доступные на подпольном рынке.

«ПО, использованное в атаке, было разработано и скомпилировано на системе, поддерживающей корейский язык, — рассказал «Газете.Ru» антивирусный эксперт «Лаборатории Касперского» Курт Баумгартнер. — Кроме того, данная атака крайне похожа на те, которые были связаны с Северной Кореей в прошлом».

Очень маловероятно обнаружить новую и независимую вредоносную программу, которая сильно напоминает ранее найденную и к тому же управляется с помощью того же командного сервера, отмечает Баумгартнер.

Однако есть и причины сомневаться в причастности Северной Кореи: сегодня довольно просто продать и купить вредоносное ПО, для этого существует целый черный рынок.

Поэтому сходства между атакой на Sony и другими кибероперациями не могут являться однозначной уликой, рассуждает Баумгартнер.

Улики против Северной Кореи могут быть намеренно сбивающими со следа. Хакеры вполне могли оставить ложные улики, ведущие к Северной Корее, чтобы сосредоточить внимание на Пхеньяне, предполагает эксперт.

«Это вполне могли быть случайные хакеры. Sony довольно долго была одной из излюбленных целей киберпреступников. К примеру, сеть PlayStation Network много раз подвергалась атакам, выводившим ее из строя», — добавил он.

По мнению ведущего вирусного аналитика ESET Russia Артема Баранова, причастность КНДР к атаке на Sony до сих пор точно не определена, однако на это указывают многие сведения.

Американская компания FireEye, которая занималась расследованием этого инцидента, сообщила, что следы этой кибератаки ведут в Северную Корею, напомнил он. Злоумышленникам удалось установить на компьютеры, принадлежащие внутренней сети Sony, вредоносное ПО под названием Destover, выяснили эксперты.

«На наш взгляд, есть уловимая связь этой вредоносной программы с другой под названием Wiper/Shamoon. Она использовалась ранее в кибератаках на пользователей Южной Кореи», — отмечает Баранов. Отличительной особенностью этих вредоносных программ является их предназначение — они могут полностью уничтожать данные на компьютерах жертв, что делает скомпрометированные ПК полностью неработоспособными, лишает пользователей и файлов, и системных данных, необходимых для работы ОС.