朝鮮真的黑客攻擊了索尼嗎？ - 彭博社

bloomberg

2014-12-04

朝鮮領導人金正恩（左）與中國副主席李克強（右）在2013年7月27日平壤金日成廣場舉行的軍事閲兵上，慶祝朝鮮戰爭停戰60週年。

埃德·瓊斯/法新社/蓋蒂圖片社關於索尼遭受毀滅性黑客攻擊的起源，有兩種流行理論，這些理論都可以成為絕佳的電影情節：這是朝鮮對一部侮辱性塞斯·羅根電影的報復，或者是一個與黑客活動分子勾結的極度不滿的前員工的內部工作。由於知名且備受尊敬的網絡安全專家在這個問題上意見分歧，這是一部幾乎剛剛過片尾的好萊塢大片。

各方一致認為，對索尼的網絡攻擊在其個人性質和惡意破壞範圍上是前所未有的，這次攻擊並不是為了讓任何人獲利或收集任何形式的企業或財務情報，而是專門為了羞辱和傷害一家特定的跨國公司——這是一樁真正巨大的犯罪。

索尼泄密事件的程度在首次襲擊一週後仍在不斷揭露，但到目前為止，該公司的損失涉及盜取和泄露11TB的數據，其中包括幾部未發佈的電影和大量內部公司文件。員工薪水和社會安全號碼、敏感的電子郵件附件，甚至還有一份聲稱是關於公司工作條件的投訴清單。此外，本週向其聯絡警報系統電子郵件列表的訂閲者發佈的一份泄露的FBI備忘錄（早前由路透社報道）表明，這次攻擊還涉及能夠破壞文件並使整個計算機系統永久損壞的惡意軟件

“警報警告稱，已識別出未知計算機網絡利用（CNE）操作員使用的破壞性惡意軟件。”該警報警告。“這種惡意軟件能夠覆蓋受害者主機的主引導記錄（MBR）和所有數據文件。覆蓋數據文件將使得使用標準取證方法恢復數據變得極其困難且成本高昂，甚至不可能。”

備忘錄還包括需要注意的計算機代碼，暗示FBI擔心索尼攻擊的形式可能會被複制到其他實體。

“我們通常看到的是竊取信息的黑客攻擊，但這是一種破壞——他們實際上摧毀文件——這非常罕見，”理查德·A·克拉克，前比爾·克林頓和喬治·W·布什總統的首席網絡安全顧問説。“他們通過泄露尚未發佈的電影並將其放到盜版市場來破壞收入。他們通過內部文件破壞索尼的聲譽。這是一種非常聰明且具有破壞性的攻擊。我不記得在美國見過這樣的事情。”

克拉克的繼任者之一，前奧巴馬政府的網絡安全沙皇霍華德·施密特同意，指出索尼攻擊是在FBI被網絡安全公司FireEye通知黑客正在針對企業首席財務官和其他參與併購的人士的電子郵件以獲取市場動向情報的幾天內被揭露的。本週，FBI還警告了針對美國醫療保健和能源基礎設施的惡意軟件攻擊。“這是一個完美風暴，”施密特説。“這三件事情同時發生，這實在太多了，而且意義重大。”

到目前為止，索尼黑客事件有三名主要嫌疑人。一個名為和平守護者（Guardians of Peace，簡稱GOP）的團體通過Reddit帖子聲稱對此負責，但關於他們是誰或他們的動機的信息很少。科技網站Re/Code報道，週三索尼內部的兩個消息來源告訴他們，該公司即將宣佈他們認為北韓政府是此次泄露事件的幕後黑手，但索尼影業的一位發言人卻告訴法新社，“對這起非常複雜的網絡攻擊的調查仍在繼續。”第三名嫌疑人是一名不滿的——並且技術能力出眾的——前員工。

索尼已聘請Mandiant，一家網絡取證公司，該公司曾確定中國政府在2013年對《紐約時報》的嚴重黑客攻擊中負責*《紐約時報》*，以尋找泄露事件的來源。Mandiant（FireEye的子公司）和索尼都沒有人可以發表評論。

北韓領導人金正恩因索尼電影《採訪》而公開表示不滿，該片定於本月上映；這是一部由羅根和詹姆斯·弗蘭科主演的喜劇，講述主角試圖刺殺金正恩。今年早些時候，平壤曾致信聯合國秘書長潘基文，稱該電影是“赤裸裸的恐怖主義贊助，以及戰爭行為。”這個壓迫性的政權還曾致信奧巴馬政府，要求他們阻止該電影的上映。

儘管如此，對於許多人來説，朝鮮的聯繫似乎是牽強附會的。一個原因是：泄露的索尼電影DVD質量版本的名單中包括布拉德·皮特的戰爭片《狂怒》，翻拍的《安妮》，奧斯卡熱門影片朱莉安·摩爾的《仍然愛麗絲》，以及一部英國傳記劇《特納先生》。而《採訪》並不在其中。

湯米·斯蒂安森，Norse的首席技術官，這是一家網絡安全社區依賴於歷史網絡攻擊數據的主要黑客追蹤公司，他告訴彭博政治，他計劃將他所稱的法醫證據提交給索尼和FBI，證明此次攻擊很可能來自與一名在日本被解僱的前索尼員工相關的IP地址，該員工在5月被解僱。

“人們談論朝鮮的唯一原因是朝鮮對索尼發表了意見，”斯蒂安森説。“但朝鮮不會這麼做。他們不會竊取其他所有電影卻不去拿《採訪》。我相信這是內部工作。這個名為‘和平守護者’的組織，沒人聽説過他們。我找不到關於他們的一點信息。我會説，如果我們找不到關於他們的任何信息，他們就不存在，並且他們肯定與任何特定政府沒有關係。”

喬·基尼裏，網絡安全公司Galois的負責人，也是幾位歐洲政府網絡犯罪的關鍵調查員，他也表示他對朝鮮的想法“幾乎沒有信任”。如果這不是內部攻擊，那將非常非常令人驚訝。通過你的網絡泄露出這麼多數據而沒有注意到，這意味着索尼的安全團隊簡直無能。我非常懷疑這是內部人員所為，像斯諾登那樣的人，填滿一個USB磁盤然後帶着它走出去。”

但是索尼攻擊的巨大規模以及其可能的目標，使許多政府人士相信朝鮮是主要嫌疑犯。“從根本上説，他們製作了一部關於暗殺朝鮮總統的電影，”克拉克説。“他們會因此報復嗎？哦，當然。金正恩會讓那裏的人去做點什麼。他們已經展示了攻擊韓國公司的能力。”

另一位堅定認為是朝鮮所為的專家是位於新罕布什爾州納舒厄的網絡安全公司SnoopWall的首席執行官加里·米利夫斯基，他過去曾與朝鮮攻擊作鬥爭。他還指出，朝鮮一直是日本的歷史對手，並會樂於有機會破壞一家頂級日本公司。“他們擁有世界上最先進的網絡軍隊之一，”米利夫斯基説。“他們招募了3000到6000名網絡戰士。他們唯一的工作就是創建惡意軟件並推進金正恩的議程。”

施密特承認他不確定誰是對的，但對Re/Code的報告也持謹慎態度，僅僅因為索尼的泄露事件是如此新，“我不知道是否有人能明確知道是誰做的。這將非常非常困難，即使在幾周或幾個月後也很難證明。”

好萊塢的競爭製片廠似乎特別關注這樣的泄露事件，但他們對朝鮮的説法也表示懷疑。一位競爭製片廠的高管指出，索尼的電影部門最近遭遇了困境，裁員潮不斷。該高管表示，索尼在過去一年或更長時間裏一直受到困擾，並補充説，新版《蜘蛛俠》的表現沒有達到索尼的期望，管理層也發生了重大變化。他表示，員工和前員工有很多理由感到憤怒。

即使罪犯真的被證明是北朝鮮，許多人仍然懷疑會有嚴重的後果。“會發生什麼？什麼都不會，”克拉克説。“到目前為止，美國政府的政策是，當一傢俬營公司受到外國國家的攻擊時，美國政府不會報復。它從來沒有這樣做過，我認為它不會因為索尼而這樣做。我的意思是，當伊朗人攻擊美國最大的銀行時，美國政府並沒有報復。”

這並不意味着政府沒有在關注，施密特説，他的合夥人是前國土安全部部長湯姆·裏奇。在他擔任白宮期間發生類似泄露事件時，施密特表示，曾有總統簡報和在危機室的討論，討論是否會有進一步的攻擊。“他們正在聯繫這些公司，詢問他們能與我們分享什麼。”

但政府與企業之間的關係，如果説有什麼的話，比主權國家之間的關係更復雜和棘手。美國商會強烈反對2012年一項法案，該法案將創建一個系統，允許公司自願向聯邦當局報告網絡犯罪活動，並給予公司免於訴訟的保護。商會反對聯邦干預和“政府強制措施”的產生。

“故事是外國政府正在攻擊美國公司，而美國政府在觀察並對此無動於衷，因為美國公司表示他們不希望政府對此採取任何行動，”克拉克説。商會“認為美國政府根本不應該介入，然後當他們受到攻擊時，他們又請求山姆大叔來拯救他們。當銀行遭遇數字拒絕服務攻擊時，他們都去找政府，‘救救我們！救救我們！’”

週三，商會發言人指出，近年來其支持多種努力以建立國家網絡安全標準。然而，即使在一封給彭博政治的信中，來自聯邦國家標準與技術研究所，商會副總裁安·M·博肖斯恩寫道：“信息共享討論對改善政府與企業之間的共享重視不足。商會希望擴大政府與企業之間的信息共享，這一進展正在進行中，但需要改進。”

解決友軍誤傷問題可能是應對威脅的第一步。

更正：在此故事的早期版本中，第17段中霍華德·施密特的引用應包含“明確”的詞，而不是“肯定”，第18段中一位製片執行官的評論應提及管理，而不是市場營銷的變化。此外，在第三段中，應將路透社歸功於對FBI備忘錄的早期報道。