索尼影业是这样被黑客入侵的
作者:星期一, 四月 27, 20150

去年索尼影业被黑客入侵一事,堪称网络空间安全历史上的最大事件之一,惊动了美、朝、韩、日、中等国政府,并相继做出回应。但索尼如何被黑的细节一直不得而知。

上周六,安全公司Cylance的首席执行官披露,黑客可能是通过一系列发给索尼影业系统工程师、网络管理员和其他员工的钓鱼邮件,得以成功访问索尼影业的内部网络。

索尼影业是在去年秋季被入侵的,攻击者盗走了数十G的文件,从电子邮件到财务报告,甚至还有即将发行的电影《刺杀金正恩》。之后又在临近12月的感恩节之前用恶意软件删除了许多计算机硬盘上的数据,并在内部网络的登录页面打上了警告信息。事件曝出几周后,美国联邦调查局正式把攻击责任归咎于朝鲜政府。(回复“索尼影业”查看详细)

斯图尔特·麦克鲁尔是Cylance的创始人兼CEO,之前还任迈克菲首席技术官。他分析了黑客放到网上的索尼文件和攻击索尼使用的恶意软件之后,认为初始攻击成功最可能的解释是发给内部员工的“鱼叉式钓鱼”邮件。这些员工具有内部网络的高级访问权限,甚至是root权限。

斯图尔特·麦克鲁尔

这些邮件冒充苹果官方,声称发现未授权的活动,因此要求接收者确认他们的苹果ID凭证。如果接收者点击其中的链接,则会被导向一个看起来是苹果官方的账户确认网站。很显然攻击通过LinkedIn搜索到了这些有着内部网络高级访问权限的员工姓名、职位和邮件等信息。

获取这些人苹果的ID凭证后,黑客也许借以猜出他们的内部口令,或者干脆在假冒苹果账户确认的页面中直接要求他们输入自己的用户名和口令。然后再把这些登录凭证编写到恶意软件中,访问内部网络。

在这些登录凭证中,至少有一个是管理员权限的账户,这个账户访问了微软系统中心配置管理器(SCCM)2007的安装,SCCM其中一个功能就是用来向员工的计算机分发软件。

当我在恶意软件中看到一个SCCM的管理员账户和口令时,我就想‘哇,可能就是这么回事了。’

 

麦克鲁尔推测攻击之所以是从内部发起,是因为它看上去就是一件内部事务。使用偷来的SCCM证书,黑客可以把恶意软件分发到员工的计算机上。因为它来自内部的SCCM,因此对于内部人员来说完全是合法的。

“坦率地说,这只是推测,但它是一个基于证据的合理推测,“麦克鲁尔说道。“问题在于,它最有可能是怎样发生的?”

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!