Хакеры из Северной Кореи подозреваются в проведении одной из самых масштабных кибератак в этом году. Речь идет о взломе ресурсов американской кинокомпании Sony Pictures Entertainment, в результате которого злоумышленниками была похищена конфиденциальная информация сотрудников компании и голливудских кинозвезд.
Неизвестные хакеры 24 ноября провели атаку на Sony Pictures и парализовали компьютерную систему компании, параллельно запустив в нее вирус. В результате взлома на экранах компьютеров сотрудников Sony Pictures появилось изображение черепа и сообщение с угрозой раскрыть конфиденциальную информацию компании.
Очень быстро стало известно, что ответственность за кибератаку взяла на себя хакерская группировка «Хранители мира». Параллельно появились первые слухи о том, что злоумышленники получили доступ к конфиденциальным данным сотрудников компании.
По информации портала Business Insider, группировка позиционирует себя как борцов с медиакорпорациями, а потому близка по духу движениям Anonymous и LulzSec.
По информации СМИ, хакеры смогли похитить около 100 Тб данных, включая персональные сведения сотрудников компании и производственные планы относительно съемок и релизов будущих фильмов. В частности, источник рассказал изданию BBC, что киберпреступники получили доступ к информации о зарплатах, кредитных картах и номерах соцстрахования сотрудников Sony Pictures.
Газета The Wall Street Journal в свою очередь сообщила, что в распоряжении злоумышленников оказались номера соцстрахования более 47 тысяч нынешних и бывших сотрудников студии и голливудских звезд, в том числе Сильвестра Сталлоне, Джоны Хилла, Кэмерон Диаз и Анджелины Джоли. Кроме того, из архивов были украдены фильмы «Ярость», «Уильям Тернер», «Все еще Элис» и «Энни».
Эксперты из фирмы по защите данных Identity Finder пришли к выводу, что в интернет также попали домашние адреса сотрудников, данные о размерах их зарплат, почтовая переписка и пароли от аккаунтов в соцсетях. При этом большинство информации хранилось в незащищенных файлах Microsoft Excel.
Руководители Sony Pictures Майкл Линтон и Эми Паскаль позднее признали подлинность украденных данных. «Мы все еще не знаем о полном объеме информации, которая есть у атаковавших или которая может быть ими обнародована, но, к сожалению, мы вынуждены попросить принять тот факт, что сведения о вас, имеющиеся в компании, могут быть у них», – говорится в распространенной среди сотрудников служебной записке.
Всему виной «Интервью»
Однако настоящую сенсацию преподнесло подключенное к расследованию ФБР. По информации Reuters, агенты бюро и привлеченные эксперты из компании FireEye в ходе проверки обнаружили следы вируса, который был использован в марте 2013 года для атак на южнокорейские банки и телекомпании. Таким образом, «Хранители мира» могут быть причастны к группировке хакеров из Северной Кореи.
По словам представителей Sony, нападение произошло за месяц до премьеры комедии «Интервью», где главные герои в исполнении Сета Рогена и Джеймса Франко по сюжету должны были убить лидера КНДР Ким Чен Ына. В Северной Корее ленту назвали «актом терроризма» и пообещали, что создателей ждет «суровое наказание».
Все это дало компании повод открыто заявить о кибератаке на свои ресурсы со стороны северокорейских хакеров. Представители компании также отметили, что некоторые из них могли действовать с территории Китая.
При этом северокорейский дипломат 2 декабря не стал напрямую отрицать причастность Северной Кореи к кибератаке. «Вражеские силы связывают все с Северной Кореей. Я любезно прошу вас подождать — и вы все увидите сами», — заявил он.
И лишь 4 декабря власти КНДР выступили с официальным опровержением. В частности, один из корейских чиновников отметил, что хакерская атака сфабрикована, чтобы очернить имидж страны.
При этом на следующий день сотрудники Sony получили письма с угрозами. «Надежда покинет вас, и Sony Pictures рухнет», — гласит текст послания.
На сегодня версия о причастности северокорейских хакеров к атаке на Sony Pictures рассматривается ФБР в качестве одной из основных.
«Бюро 121»
КНДР за последние годы действительно уделяла повышенное внимание созданию и развитию особого подразделения кибервзломщиков. По информации Reuters, это подразделение носит название «Бюро 121» и является частью Национального разведывательного управления КНДР. По словам одного из северокорейских перебежчиков, в «Бюро 121» служат наиболее талантливые специалисты в стране, которые занимаются взломами и слежкой за врагами государства, такими как Южная Корея и США.
Сбежавший в Южную Корею 6 лет назад военный Жан Се Юл рассказал Reuters, что обучался вместе с будущими хакерами в военном институте компьютерных технологий. По его словам, все они проходили тщательный отбор и начали обучение в 17 лет. «Для них самое мощное оружие – киберпространство. В Северной Корее то, что они делают, называется «Секретная война», — рассказал Жан.
Он также отметил, что число хакеров в «Бюро 121» составляет более 1800 человек и они считаются элитой вооруженных сил КНДР. «Стимул стать хакером в Северной Корее очень силен — они являются одними из самых богатых людей Пхеньяна», — подытожил Жан.
The Wall Street Journal в свою очередь полагает, что число северокорейских кибербойцов достигает 3 тысяч, а их обучение впервые было начато в двух закрытых университетах в Пхеньяне в середине 1990-х годов.
В прошлом году эксперты из Symantec также утверждали, что не все северокорейские хакеры совершают атаки с территории КНДР. К таким выводам специалистов подтолкнули продолжающиеся в течение пяти лет кибернападения на различные южнокорейские объекты. Лишь в прошлом году злоумышленники смогли за раз отключить более 30 тысяч компьютеров в банках и телецентрах Сеула, а чуть позже обрушить сайт правительства Южной Кореи.
В Symantec полагают, что причастная к этим киберпреступлениям группировка «Темный Сеул» состоит из 10–50 высококвалифицированных хакеров, работающих за пределами КНДР как единая сеть.
«Между атаками на сеульские банки и Sony Pictures наблюдается чересчур много общего. В частности, злоумышленниками был использован один и тот же дублирующий вредоносный код», — рассказал Reuters исследователь «Лаборатории Касперского» Курт Баумгартнер.
Эксперт полагает, что факты подтверждают участие Северной Кореи в кибератаке. «Взломщики могли действовать как единой группой, так и по отдельности. Но они явно обменивались информацией», — подытожил Баумгартнер.