News & Rumors: 5. Dezember 2014,

Sony Pictures Hacker mit Insider-Kenntnissen, Mitarbeiter bloßgestellt

Hacked by #GOP
Hacked by #GOP

Bislang ist unbekannt, wer die Hacker sind, die einen Angriff auf die Computer von Sony Pictures gefahren haben. Doch IT-Forensiker sind sich sicher, dass die Guardians of Peace Insider-Kenntnisse besessen haben.

Sony Pictures hat noch immer mit den Nachwehen des Hacks auf seine IT-Infrastruktur zu kämpfen. Hacker sollen Malware namens Destover, bzw. WIPALL genutzt haben, um ihre Spuren zu verwischen, gleichzeitig aber viele Daten gelöscht.

Namen und Logins von Sony-Servern bekannt…

IT-Forensiker behaupten, dass die Konfigurationsdateien für die Angreifer-Software viele Daten enthielten, die bereits „vorausgefüllt“ waren. So fand man Namen von Webservern aus Sonys internem Netzwerk und Login-Daten, um auf diese zuzugreifen. Darüber hinaus haben die Hacker nicht nur eine Reihe von Filmen veröffentlicht, sondern außerdem letzte Nacht ein Sammelsurium aus 11.000 Dateien, in denen alle Daten enthalten sind, die zum täglichen Warten der IT von Sony notwendig ist.

Sony-Mitarbeiter werden bloßgestellt

Wie angedroht veröffentlichten die Hacker auf Pastebin Inhalte aus Dateien, die ihnen vorliegen. Sie lassen indes immer noch ihre Muskeln spielen und beschreiben, ihnen würden Terabytes an Daten vorliegen. Zu den Daten, die nun veröffentlicht wurden, zählen Firmeninformationen, wie Lohn- und Gehaltsabrechnungen von Mitarbeitern, der Sozialversicherungsnummern, Bewertungen der Mitarbeiter, deren polizeiliche Führungszeugnisse und weitere Copyright-relevante Materialien wie ein Drehbuch zu einem noch nicht angelaufenen TV-Format, speziell zu einer Pilotserie, für die der Autor von „Breaking Bad“ verantwortlich ist.

Malware überschreibt Master Boot Record

Zudem ist die Malware in der Lage die Systeme zu löschen. Entsprechend veröffentlichte das FBI unter der Woche eine offizielle Warnung, die vor allem über Sony hinaus an andere Systemadministratoren gerichtet war. Darin wurde gewarnt, dass die Malware „has the capability to overwrite a victim host’s master boot record (MBR) and all data files. The overwriting of the data files will make it extremely difficult and costly, if not impossible, to recover the data using standard forensic methods.“

Sonys Aufgabe, seine IT-Infrastruktur wiederherzustellen wird durch die neuen Veröffentlichungen erschwert, weil man nicht nur die Malware außer Gefecht setzen muss und Daten wiederherstellen, sondern Gefahr läuft, erneut gehackt zu werden, sollte man nicht alle Servernamen, Ports, Logins, Passwörter, etc. pp. ändern.

In einem Interview mit The Verge hatte Ende November ein vermeintliches Mitglied der Hackergruppe Guardians of Peace behauptet, dass Sony seine Türen nicht abschließen würde, im Wortsinn. Man habe dann mit Mitarbeitern Sonys zusammengearbeitet, die die eigenen Interessen teilen würden, um Daten zu entwenden, die für den Hack notwendig waren. Um welche Interessen handelt es sich? In dem Interview hieß es außerdem, man wolle „Gleichheit“, Sony wolle sie nicht.

Nordkorea Schuld?

Spekulationen darüber, ob es sich um Hacker aus Nordkorea handeln könnte, gab es bereits. IP-Adressen, an denen Daten von der Malware gesendet wurden, sollen in Richtung, Italien, Singapur, Polen, die USA, Thailand, Bolivien und Zypern weisen. Das liegt wohl daran, dass die Hacker ihre Herkunft verschleiern wollten und sich nicht allzu dumm dabei angestellt haben.

IT-Spezialisten, die einen Blick auf Teile des Codes und der Logfiles werfen durften, wie Jaime Blasco von AlienVault, behaupten, dass die Hacker beim Kompilieren der Malware auf ein System mit koreanischer Sprache zurückgegriffen haben. Laut Blasco ist die Nutzung von Koreanisch im Compiler bislang der einzige „technische“ Hinweis auf Nord-Korea als Aggressor, doch diese Informationen könnten leicht gefälscht werden.

Hingegen behaupten sowohl Kaspersky als auch Symantec, dass die Destover/WIPALL-Malware den gleichen Kontrollserver nutzt, der schon beim Trojaner Volgmer zum Einsatz kam und außerdem Komponenten mit dem Trojaner Jokra teilt. Beide wurden in Cyber-Attacken gegen Südkorea genutzt.

Artikel bewerten

Ähnliche Beiträge

Im Oktober kommt das iPhone 7 in weitere Länder Seit dem 16. September kann man das iPhone 7 in unseren Breiten kaufen. Am 23. September startete die zweite Welle. Im Oktober kommt Welle Nummer drei...
Sharp: Hohe Investition für OLED-Produktion geplan... Sharp ist ein langjähriger Partner von Apple, vor allem was Bildschirmtechnologien angeht. Mit dem laut Gerüchten geplanten Umstieg von LCD auf OLED m...
iPhone 8 soll mit Glasgehäuse und Metallverstärkun... Zurück zu den Wurzeln? Apple soll wieder Gefallen an glänzenden iPhones gefunden haben. Das deutet sich bereits mit dem iPhone 7 in Diamantschwarz an....
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



 0 Kommentar(e) bisher


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>