Исследователи начали склеивать вместе подсказки о зловреде-стирателе, который нанес сокрушительный удар по Sony Pictures Entertainment. В результате были слиты тысячи файлов и документов, включая невыпущенные фильмы, конфиденциальные презентации, финансовые данные, данные о сотрудниках, пароли и многое другое, а также неназванное число компьютеров было выведено из строя вредоносным кодом, идентифицированным как Destover.

Деструктивные атаки не являются чем-то новым, такое в разных масштабах случается часто. Небольшие компании и частные лица становятся жертвами все новых штаммов вымогателей. CryptoLocker, к примеру, шифрует файлы на скомпрометированной машине, обещая ключ для дешифрования в обмен на выкуп.

Destover и ему подобные гораздо опаснее, так как они переписывают главную загрузочную запись на жестком диске компьютера, не только выводя из строя компьютер после того, как ограбят его дочиста, но и оставляя след, по которому могут пройти исследователи.

Исследователь «Лаборатории Касперского» Курт Баумгартнер (Kurt Baumgartner) опубликовал отчет, раскрывающий функциональность Destover и описывающий схожие черты этого зловреда и кода, использованного в атаках Shamoon против Saudi Aramco и DarkSeoul, зафиксированной в прошлом году в Южной Корее.

Во всех трех атаках Баумгартнер заметил использование коммерчески доступных файлов драйвера Eldos RawDisk (Shamoon и Destover), которые содержались в секции ресурсов дроппера (Shamoon и Destover), а данные на диске и MBR перезаписывались зашифрованным политическим сообщением (Shamoon, DarkSeoul).

Destover, по словам Баумгартнера, был скомпилирован в какой-то момент 48-часового периода перед атакой, что схоже с атакой DarkSeoul, и злоумышленники закрепились в Сети задолго до этого. Shamoon также был скомпилирован за несколько дней до атаки на Aramco — весьма сжатые сроки, учитывая количество выведенных из строя рабочих станций (более 30 тыс.).

«Во всех трех случаях (Shamoon, DarkSeoul и Destover) группы, претендующие на авторство деструктивного эффекта в больших сетях, не имеют собственной истории и не идентифицированы с реальными личностями, — написал Баумгартнер. — Все попытались исчезнуть после выполнения атаки, не делали четких заявлений, но делали странные, окольные обвинения в преступлениях и пытались объяснить свои действия какими-либо громкими политическими событиями, как будто те являлись причиной атак».

В случае Destover популярной версией было обвинение Северной Кореи в атаке на Sony в качестве мести за предстоящий выпуск фильма «The Interview» («Интервью»), в котором сюжет основывается на вымышленной попытке ЦРУ убить северокорейского лидера Ким Чен Ына. Когда в июне были анонсированы подробности о «The Interview», представитель северокорейского министерства иностранных дел осудил фильм, назвав его «вопиющим актом терроризма и войны».

В своем докладе Баумгартнер объясняет и другие схожие черты этих трех атак, включая использование драйверов EldoS RawDisk для перезаписи данных и MBR, бэкдоров, примененных в атаке, и возможности восстановления данных.

«Приведенный выше список общих черт не доказывает, конечно, что команда, стоящая за Shamoon, та же, что и команды DarkSeoul и Destover. Но следует отметить, что реакционные меры и операционные и инструментальные характеристики всех групп имеют схожие черты, — написал Баумгартнер. — И это удивительно, что такие необычные и целенаправленные акты крупномасштабного киберуничтожения обладают четко опознаваемыми схожими деталями».

Сага с Sony набрала обороты не только за счет усиления утечек, но также после того, как ФБР выпустило конфиденциальное предупреждение для американских предприятий, оповестив их о возможности атак зловредов, стирающих данные.

В своем оповещении ФБР не назвало жертв, но сайт Ars Technica сообщил об увиденной записке и поделился частью ее содержимого, включая правило для Snort для блокирования сигнала, отправляемого в инфраструктуру управления и контроля зловреда, и правило YARA, используемое для обнаружения.

Новости об атаке на Sony появились перед Днем благодарения, когда компания сообщила, что большинство ее внутренних систем вышли из строя. Экраны на рабочих станциях начали отображать картинку с заявлением, что Sony была «Hacked By #GOP» («взломана #GOP»), хакерской группой, называющейся Guardians of Peace («Стражи мира»). Сообщение, отображаемое на фоне красного черепа, извещало компанию о том, что группа «завладела всеми вашими внутренними данными, включая ваши секреты и самые важные секреты», и что они будут обнародованы, если компания не подчинится группе.

Категории: Вредоносные программы, Главное, Хакеры