Эксперты представили новые доказательства причастности северокорейских хакеров к атаке на Sony Pictures

Специалисты ИБ-компании CrowdStrike  представили  новые доказательства причастности хакерской группировки из Северной Кореи к  прошлогодней  атаке на компанию Sony Pictures Entertainment.

CrowdStrike обнаружила сходство между вредоносным ПО, примененным против Sony, и частью кода, который в 2013 году использовала группировка под названием Silent Chollima. Данный код предположительно применялся при совершении кибератак на Южную Корею и США.

Как отметил в ходе посвященной атаке на Sony web-трансляции технический директор CrowdStrike Дмитрий Альперович, части кода в каждой из атак практически идентичны по своей структуре и функциональности. Более того, вредоносное ПО, использованное в обеих атаках содержит одну и ту же типографскую ошибку в том же месте: слово «security» написано как «secruity».

Специалистам CrowdStrike удалось идентифицировать аналогии между атаками, авторство которых принадлежит Silent Chollima и атакой, совершенной на Sony Pictures, в том числе использование ПО «Wiper» и похожий способ развертывания кода. Сходство заключается в части вредоносного ПО, которое используется для распространения кода в сети. По словам Альпертовича, фрагмент вредоносной программы, отвечающий за удаление данных, был более совершенным в атаке, осуществленной против Sony. Специалист предполагает, что злоумышленники использовали более позднюю версию одной и той же программы.

Не секрет, что вредоносное ПО можно приобрести на подпольных рынках. Тем не менее, говорит Альпертович, исходный код атак 2013 года и атаки на Sony никогда не появлялся в публичном доступе. Поэтому тот факт, что какая-либо другая хакерская группировка могла осуществить реверс-инжиниринг кода Silent Chollima и воспроизвести его со стопроцентной точностью вплоть до ошибки весьма маловероятен.