美國網絡安全公司斷言:朝鮮沒有對索尼發起網絡攻擊
美國知名IT安全網站“安全賬目”(The Security Ledger)12月28日報道,在索尼哭喊自己因為新電影《採訪》(又名《刺殺金正恩》)被朝鮮黑客攻擊之後,美國媒體包括其總統奧巴馬都一口咬定朝鮮是“肇事者”。然而越來越多浮出水面的證據卻與美國當局的説法不同——並不是美國人眼裏暴躁的朝鮮統治者金正恩主導了這一切,而是憤怒的前索尼影業員工,因為公司重組被解僱之後下了黑手。
網絡安全公司Norse研究人員斷言,他們對這起網絡攻擊的調查發現,朝鮮必然不是黑掉索尼公司的網絡攻擊源頭。而索尼公司所説的6人黑客團體中,其中至少有1人曾是索尼影業負責技術崗位的員工,對索尼影業的網絡和運行有着充分的瞭解。如果Norse的斷言屬實,那麼美國政府等於被打臉,此前整個美國輿論都對着朝鮮政府開火,華盛頓和平壤之間嘴仗不斷。
Norse公司表示,如此精確的襲擊非索尼內部資深員工協助不能完成
Norse的副總裁庫爾特·斯坦姆伯格(Kurt Stammberger)對媒體表示,Norse公司發現了有6人直接與對索尼公司的網絡攻擊有關,已知2人來自美國、1人來自加拿大、1人來自新加坡、1人來自泰國。其中有1人是在索尼公司工作10年的老員工,在5月的公司重組中被解僱。
斯坦姆伯格表示,Norse公司的9人研究團隊發現,此次黑客攻擊和對數據的盜取展現出黑客對索尼公司極為了解。Norse隨後依據泄露的人力資源文檔和僱員背景進行了分析。這些人力資源文檔是此次分析的重頭戲,其中有索尼2014年4月與5月間解僱員工的詳細名單。Norse在被解僱人員名單中發現了一名具有深厚技術背景的人物,並在網絡上對此人進行了追蹤,發現她多次在社交媒體、網絡聊天室和其他平台上表達對被解僱的憤怒。他們也截獲了這名被索尼解僱的女性員工與歐洲和亞洲的黑客組織成員通信信息。
斯坦姆伯格表示,他們的研究後來進一步確認,有一名在其中一個服務器上直接與索尼前僱員網絡聊天的人員,在2014年7月使用過攻擊索尼公司的惡意軟件。斯坦姆伯格謹慎地表示,他們的調查所得並非最終結果,可能會讓已經混亂的局面更加糟糕,他們在29日將調查所得通報了聯邦調查局(FBI)。
Norse是知名的網絡安全公司
“他們(FBI)才是真正的調查人員,”斯坦姆伯格表示,“我們會向他們展示我們所找到的數據和發現。能否成為呈堂證供並非我們的職業所能決定的,將由FBI來決定這些發現是否有法律效力。”
目前來看,Norse公司的調查發現至少證明,美國政府對此次黑客攻擊的官方描述並不是最有説服力的,網絡安全圈子與主流媒體間流傳各種説法間的矛盾總會見分曉。然而距離美國當局直接指責朝鮮政府發起此次黑客攻擊已有10天。
黑客攻擊外泄的諸多資料可以為各種説法提供支持。此前的報告曾經宣稱,此次攻擊使用的惡意軟件是用朝鮮語編寫的,並且與攻擊沙特的沙特阿美石油公司的惡意軟件相似。而此前公佈的每一個指向朝鮮的線索,都能指向另外的方向。比如原本數據傳輸的時間被用作指證朝鮮發起攻擊的證據,而這些數據傳輸的時間點也可能是發生在索尼公司內部網絡的數據傳輸時間,比如使用了一個U盤或移動硬盤。
而其他分析則從“和平衞士”黑客組織的給出聲明電子郵件,郵件中的文字與日本動漫與美國電視劇有關,而對“和平衞士”內部交流語言的分析證明,這些黑客使用的是俄語而非英語。
前聯邦檢察官和一家科技與網絡法律研究所所長馬克·拉什(Mark Rasch)表示,Norse的調查解答了一些之前令人困擾的問題,比如黑客為何對索尼影業內部網絡有着近乎完美的瞭解,並且在索尼影業毫無察覺的情況下盜取了巨量的數據。拉什還表示,之前朝鮮政府一直非常可疑,並非不可能是朝鮮政府,但是非常可疑——而如果這名索尼影業的內鬼假裝是朝鮮政府的話,那就一切解釋的通了。
和許多人一樣,拉什也指出,黑客最初向索尼影業和外接提出要求時,並未提及《採訪》這部電影。而黑客非常清楚泄露哪些索尼影業的內部文件能在好萊塢製造出極大影響,表明黑客非常瞭解好萊塢的運作,他們泄露的資料是非常私人且非常令索尼高官尷尬的。
斯坦姆伯格表示,內部人員的參與能解釋為什麼黑客如此瞭解索尼公司網絡內部的關鍵信息,比如重要服務器的IP地址和需要登陸到這些服務器的憑證。即使在高水平的網絡攻擊中,遠程攻擊者需要用很多天、好幾周甚至好幾個月來刺探網絡中信息,讓他們獲取其中控制權,而使用攻陷的員工賬號,在盜取數據、製造破壞前搜索敏感信息很容易被發現。在對索尼的網絡攻擊中,黑客沒有經過這種刺探的過程,像是早就知道哪些關鍵數據存儲在哪裏。
但目前還有許多問題並不明朗,Norse提供的分析中還有許多空白。斯坦姆伯格表示,有5到6名前索尼影業員工可能與此次網絡攻擊有關,被發現的這個人是直接與網絡攻擊有聯繫的。那名前索尼員工加入到了外部有經驗的黑客組織中,例如提供好萊塢電影下載的海盜灣組織等。斯坦姆伯格表示,Norse發現的證據表明,前索尼員工與在外的黑客組織勾結進行了此次網絡攻擊。
(觀察者網編譯自安全賬目網站)