image

Tegen Sony gebruikte malware zat vol bugs

donderdag 18 december 2014, 12:33 door Redactie, 10 reacties

De malware waarmee computers en servers van Sony Pictures Entertainment werden gewist zat vol bugs en was allesbehalve geavanceerd, zo stelt netwerkgigant Cisco. Daarnaast lijkt de aanval te zijn uitgevoerd door iemand met directe toegang tot en kennis van het netwerk. Volgens Amerikaanse functionarissen zou Noord-Korea achter de aanval zitten. In vergelijking met andere aanvallen waarvan landen worden verdacht is de kwaliteit van de gebruikte malware een "verschil van dag en nacht", aldus Craig Williams van Cisco tegenover Ars Technica.

"De code is eenvoudig, niet erg complex en niet erg geobfusceerd." De malware komt dan ook niet professioneel over. Zo ontdekten Cisco-onderzoekers verschillende bugs in de malware, die "Destover" wordt genoemd. In een analyse van Destover stelt Cisco dat de malware ook niet complex hoefde te zijn. "Data zijn het nieuwe doelwit, dat zal niemand verrassen", aldus analist Christopher Marczewski. Het gebruik van malware om bestanden te wissen is allesbehalve nieuw. In 2012 werden 30.000 computers van de Saoedische oliegigant Saudi Aramco het doelwit van soortgelijke malware.

Insider

Ondanks de eenvoud van Destover was de malware gemaakt met uitgebreide kennis van het Sony-netwerk, aldus beveiligingsbedrijf Blue Coat. Zo beschikte de malware over 10.000 koppelingen tussen interne hosts en IP-adressen. Ook werden er "hardcoded" inloggegevens gebruikt om op machines in te loggen. Cisco stelt dat de aanvallers de Windows Server infrastructuur kenden en deze kennis gebruikten om via Microsoft’s NetBIOS-protocol commando's te versturen om de mailservers uit te schakelen en mogelijk ook om zichzelf over het netwerk te bewegen.

Het is nog altijd onbekend hoe de malware op het Sony-netwerk terechtkwam en hoe terabytes aan gegevens binnen slechts een paar dagen na de aanval konden worden gestolen. De aanvallers zouden volgens eigen zeggen 100 terabyte aan gegevens hebben gestolen. Gebaseerd op de mailbox-bestanden die de aanvallers lekten werd er tot 23 november data van het netwerk gekopieerd, waarschijnlijk van desktopback-ups.

Hoewel de data mogelijk gedurende een langere tijd zijn gedownload, is het volgens Ars Technica waarschijnlijk dat ze direct van het Sony-netwerk zijn gedownload. Dit zou op de zondag voor de aanval zijn gebeurd door iemand met directe toegang tot het netwerk. De Destover-malware zou op hetzelfde moment zijn geïnstalleerd. Deze aanpak zou alleen met hulp van binnenuit mogelijk zijn geweest.

Problemen

In de weken voor de aanval kampte Sony al met allerlei technische storingen, die volgens het bedrijf de schuld van softwarefouten en incompetent technische personeel waren, aldus interne e-mails die zijn gelekt. Uit andere gelekte bestanden zou blijken dat er binnen Sony een laks beveiligingsbeleid was, zoals het versturen van wachtwoorden per e-mail en het gebruik van eenvoudig te raden wachtwoorden.

Ook werden gevoelige gegevens niet versleuteld. Zo bleek de directeur regelmatig wachtwoorden voor internetbankieren, e-mail en online shoppingaccounts in onbeveiligde mailberichten te plakken. Verder werden systemen nauwelijks gemonitord en was er een onervaren supportteam, aldus de Associated Press.

Film

Sony heeft inmiddels besloten om de film "The Interview", waar het de aanvallers allemaal om was te doen, niet uit te brengen. Eerder gaf het bedrijf al aan de geplande kerstlancering van de film in de VS te schrappen en heeft nu ook alle verwijzingen naar The Interview op de eigen website verwijderd, zo meldt Variety.

Reacties (10)
18-12-2014, 12:43 door Anoniem
"Het is nog altijd onbekend hoe de malware op het Sony-netwerk terechtkwam" en wie zegt dat ze dan niet nu nog op het netwerk zitten?
18-12-2014, 12:58 door Anoniem
Ik zou bij een aanval het ook laten lijken alsof de code niet van mij maar van een ander is, dus het hoeft nog niks te zeggen. Dat ze die film niet uitbrengen getuigt niet van 'ballen', toegeven is echt geen optie.

als data het nieuwe doelwit is kunnen we het jericho principe ook weer eens gaan afstoffen, fijn.
18-12-2014, 14:01 door Anoniem
De film wordt nu op 1 april 2015 uitgebracht :-)
18-12-2014, 14:15 door Anoniem
Who cares of het bugs bevat, Cisco IOS zit toch ook vol bugs?
Het gaat er om of het zijn werk gedaan heeft, en dat heeft het kennelijk.
Net als met IOS. Meestal werkt het, en als je tegen een bug aanloopt dan gaan ze er misschien wel wat aan doen.
Als je extra betaald hebt tenminste. Anders niet.
(als je het spul als consument gekocht hebt is dat lijnrecht tegen de wet, maar waarom zou je je daar wat van aantrekken?)
18-12-2014, 15:16 door [Account Verwijderd] - Bijgewerkt: 18-12-2014, 15:17
[Verwijderd]
18-12-2014, 15:16 door Anoniem
pro. geschreven of niet, het heeft wel zijn doel bereikt.
Dus bashen is nu wel een optie van Cisco, maar is dat echt nuttig?
18-12-2014, 16:34 door Anoniem
Dat sony de film (en die is niet eens een download waardig en zullen alleen amerikanen mogelijk grappig vinden (wat toch de bedoeling is van een comedy)) terug trekt zal meer met 2 andere zaken te maken hebben dan met terorristen en hackers. Namelijk #1 aandacht verschuiving. Wij zijn niet de bad guy. Boze enge hackers en terrorbobs zijn de bad guys. Dat we ze bijna gevraagd hebben om in te breken dat moffelen we onder het tapijt. Dat we al 30 keer gehackt zijn moffelen we daarnaast.
#2 ALS er een amerikaans of een amerikaan met donkere getinte huid een bij de supermarkt gekocht automatisch geweer meeneemt tijdens een vieuwing is spe aka sony gewoon aansprakelijk. Zeker in lawsuit infedted VS.

Win win situatie. Die film met C acteurs was toch geflopt. Nu krijgt het een cult status net als team america. Kijk maar naar tron. Bridges carriere had het om zeep geholpen maar de legacy maakt het weer een cult film alof het om vampieren in een cafetaria gaat.

Natuurlijk roepen de vs officials weer dat het van noord korea afkomt. Net zoals ze iraq aanvallen omdat iemand uit saudi arabia 2 vliegtuigen in de wtc duwde. En vervolgens afghanistan. Dat is als cuba binnenvallen als rusland kernwapens daar zou willen neerzetten als antwoord op kruisraketten in NL D en F. Want DAT mag niet... ohnee. Dat hebben de Amerikanen gedaanm daarom hebben we quantanamo bay.
18-12-2014, 17:54 door _R0N_
Hmm misschien zijn de off-site backups wel gestolen, wie zal het zeggen..
19-12-2014, 10:03 door Renellekes
[Verwijderd]
19-12-2014, 13:09 door Anoniem
Door Anoniem: Dat sony de film (en die is niet eens een download waardig en zullen alleen amerikanen mogelijk grappig vinden (wat toch de bedoeling is van een comedy))

Ja nu is het ineens een comedy en moeten die Noord Koreanen niet zeuren.
Ik wed dat als de Pakistanen zo'n film gemaakt hadden over het vermoorden van Obama, of de Palestijnen over een
Israeli, dat de wereld dan te klein geweest was voor de roependen dat dit toch echt niet kan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.