Cyberaanval op Sony Pictures Entertainment

Cyberaanval van 2014

De cyberaanval op Sony Pictures Entertainment vond plaats op 24 november 2014. De verantwoordelijkheid voor deze aanval werd opgeëist door een groep die zichzelf de Guardians of Peace (GOP) noemt.[1][2] Hierbij werden persoonlijke gegevens van medewerkers, beroemdheden en vertrouwelijke bedrijfsgegevens buitgemaakt.[3] Uit onderzoek van het Federal Bureau of Investigation zou blijken dat Noord-Korea verantwoordelijk is voor de aanval.[4][5][6] Dit zou een reactie zijn op het uitbrengen van de film The Interview waarin een aanslag op Kim Jong-un wordt uitgebeeld.[7][8][9][10] De beschuldigingen worden door Noord-Korea ontkend.[11][12] Experts op het gebied van computerbeveiliging betwijfelen het geleverde bewijsmateriaal en suggereren dat er (voormalig) medewerkers betrokken zijn bij de aanval[13][14][15]. Mogelijk is ook Rusland betrokken bij de aanval.[16][17][18]

Op 24 november 2014 verschijnt er een bericht op de website Reddit waarin een afbeelding wordt geplaatst met vermelding dat Sony Pictures Entertainment is gehackt. De computers van medewerkers van Sony Pictures Entertainment blijken onklaar gemaakt met malware, het bericht wordt al snel opgepakt door diverse websites.[1][2] Op Reddit worden verwijzingen geplaatst naar een stel bestanden waar een index van de gestolen informatie van een bestandsserver wordt weergegeven.[19] Als er niet aan de eisen van de daders wordt voldaan dan zal er meer vertrouwelijke informatie worden gelekt. Wat de eisen daadwerkelijk zijn wordt niet verder toegelicht. De aanval wordt opgeëist door de "Guardians of Peace", een Chileense groepering die banden heeft met bekende hacktivisten Anonymous.[20]

Noord-Korea

bewerken

Er ontstaan al snel geruchten dat Noord-Korea verantwoordelijk zou zijn voor de cyberaanval, als reactie op het uitbrengen van de film The Interview. Een woordvoerder van persbureau Korean Central News Agency geeft op 25 juni 2014 aan dat distributie van een film waarin de waardigheid van Kim Jong-un wordt aangetast kan rekenen op represailles.[21] De malware die zou zijn gebruikt vertoond overeenkomsten met een aanval van maart 2013 op Zuid-Korea meld The Wall Street Journal.[22] Bij deze cyberaanval werden televisie zenders en een bank in Zuid-Korea aangevallen met malware die bekendstaat als "DarkSeoul" in de computerwereld. Sony ontkent de beschuldigingen aan het adres van Noord-Korea tegenover persbureau AP. Op 1 december 2014 bevestigt Sony de cyberaanval in een interne memo[3] en schakelt verder de FBI in. Medewerkers krijgen een aanbod voor identiteit bescherming van één jaar, geleverd door het bedrijf AllClearID.

Op 7 januari 2015 geeft FBI directeur James B. Comey een speech op een internationaal congres over informatiebeveiliging op de Universiteit van Fordham in New York.[4] In deze speech wordt Noord-Korea beschuldigd van de cyberaanval. Als motivatie geeft Comey dat de malware die gebruikt is bij de aanval op Sony om de data te verwijderen overeenkomsten vertoont met malware waarvan bekend is dat deze is ontwikkeld door Noord-Korea. De overige gebruikte hulpmiddelen vertonen ook grote overeenkomsten met de cyberaanval op Zuid-Korea in 2013. Verder heeft de afdeling van de FBI die zich bezighoudt met gedragswetenschap de publicaties en berichten van de Guardians of Peace bestudeerd. Het onderdeel vergeleek deze met andere aanvallen waarvoor Noord-Korea verantwoordelijk wordt gehouden en kwam tot de conclusie dat het dezelfde betrokkenen zijn.[5] De beschuldigingen worden nog dezelfde dag door Noord-Korea ontkend, maar de aanval wordt geprezen als een rechtvaardige daad, mogelijk uitgevoerd door sympathisanten van het regime.[11]

Op 19 december 2014 geeft de FBI een nationaal persbericht uit, waarin de cyberaanval wordt toegelicht.[6] Er wordt bevestigd dat Sony Pictures Entertainment het slachtoffer is geworden van een cyberaanval waarbij computers onklaar zijn gemaakt en een grote hoeveelheid persoonlijke en commerciële informatie is buitgemaakt. Een groep die zichzelf Guardians of Peace noemt eist de verantwoordelijkheid op en bedreigt Sony Pictures Entertainment, de medewerkers hiervan en theaters die films van het bedrijf distribueert. De aanval bestond uit het inzetten van malware waardoor Sony Pictures Entertainment gedwongen was om zijn hele computernetwerk offline te halen, met flinke schade aan zijn bedrijfsprocessen tot gevolg. De FBI concludeert dat Noord-Korea verantwoordelijk is voor de aanval. Om bronnen en methodes te beschermen kan niet alle informatie worden gedeeld. Een gedeeltelijke motivatie voor hun conclusie is:

  • Technische analyse van de dataverwijderingsmalware die gebruikt is in de aanval heeft overeenkomsten opgeleverd met andere malware waarvan de FBI weet dat deze is ontwikkeld door agenten van Noord-Korea.
  • Er is significante overlap gevonden tussen de infrastructuur die gebruikt is bij deze aanval en andere kwaadaardige cyberactiviteiten die de regering van de VS direct gekoppeld heeft aan Noord-Korea. De FBI kwam er bijvoorbeeld achter dat verschillende IP-adressen geassocieerd met bekende Noord-Koreaanse infrastructuur communiceerden met IP-adressen die aanwezig waren in de broncode van de dataverwijderingsmalware die was gebruikt bij de aanval.
  • De overige gebruikte hulpmiddelen vertonen ook grote overeenkomsten met de cyberaanval op Zuid-Korea in 2013.

Op 20 december 2014 verklaart een woordvoerder van Noord-Korea tegenover Korean Central News Agency dat Noord-Korea onschuldig is en een manier heeft om dit aan te tonen. Noord-Korea geeft aan dat er meer bewijs noodzakelijk is om een soevereine staat te beschuldigen van een misdrijf. Er wordt verder een oproep gedaan om een gezamenlijk onderzoek naar de cyberaanval uit toe voeren. Mochten de Verenigde Staten hier geen gehoor aan geven en maatregelen nemen op basis van deze ongegronde beschuldigingen, dan zouden er zware repercussies plaatsvinden.[23]

Op 2 januari 2015 kondigt de president van de Verenigde Staten, Barack Obama additionele sancties aan tegen Noord-Korea.[24] Noord-Korea reageert met een persbericht op 4 januari 2015.[25] Hierin wordt aangegeven dat veel experts twijfelen aan de betrokkenheid van Noord-Korea en er worden vraagtekens gezet bij de weigering van de Verenigde Staten om een gezamenlijk onderzoek uit te voeren.

Twijfel experts

bewerken
 
Foto van DEFCON 22, de grootste jaarlijkse hacker conferentie ter wereld.

Er kwam echter veel twijfel over de beschuldigingen van de Verenigde Staten aan het adres van Noord-Korea. Veel specialisten in Informatiebeveiliging waaronder Kurt Stammberger van beveiligingsbedrijf NORSE[26][27][28] en DEFCON[29] organisator en Cloudflare[30] onderzoeker Marc Rogers[13] twijfelen of Noord-Korea achter de aanval zat. Het onderzoek van NORSE richtte zich vooral op zes individuen die een bijdrage konden hebben geleverd aan het binnendringen van Sony's netwerk. Hieronder zou één ex-medewerker zijn met genoeg technische kennis om de aanval uit te voeren. NORSE vermoedde dat de groep medewerkers contact had gezocht met pro-piraterij hacktivisten om de cyberaanval mogelijk te maken.[14][15] Marc Rogers plaatste verschillende artikelen op zijn blog[31] over de aanval. Enkele van zijn argumenten tegen de mogelijkheid dat Noord-Korea achter de aanval zat waren:

  • Het feit dat de code geschreven was in het Koreaans maakt betrokkenheid van Noord-Korea juist minder waarschijnlijk. Noord-Koreanen spreken geen traditioneel Koreaans, maar een eigen dialect. Het is verder simpel om de taalinstellingen van een computer aan te passen voordat de code gecompileerd wordt.
  • Na inspectie van de gebruikte code werd bekend dat deze specifieke gebruikersnamen en wachtwoorden bevatte. Deze informatie zou in de loop van de tijd kunnen zijn opgebouwd, maar volgens de theorie van Ockhams scheermes is het waarschijnlijker dat een ingewijde van Sony Pictures Entertainment betrokken is geweest.[32]
  • De motivatie van de daders leek wraak te zijn. Met de buitgemaakte informatie hadden de daders makkelijk geld kunnen verdienen aan hun activiteiten. In plaats daarvan wordt alle informatie vrijgegeven en hierdoor waardeloos gemaakt. Met alleen al de gebruikersnamen en wachtwoorden van financiële gebruikers is een fortuin te verdienen.
  • De dreigementen omtrent de film The Interview werden in eerste instantie niet door de Guardians of Peace geuit. Pas nadat er speculatie in de media was ontstaan en er persberichten van Noord-Korea werden vrijgegeven, was de verbinding een feit. Rogers vermoedde dat dit een poging tot misleiding was van de aanvallers.
  • De aanvallers bleken zeer behendig met sociale media en het internet. Samen met de geraffineerde aanval paste dit niet bij het profiel van Noord-Korea.

Russische connectie

bewerken

Op 4 februari 2015 ontstaan er geruchten dat Russische groep verantwoordelijk is voor de cyberaanval, mogelijk in opdracht van Noord-Korea.[16][17] Het Amerikaanse bedrijf Taia Global[33] brengt een rapport uit getiteld "The Sony Breach: From Russia, No Love"[18], hierin wordt beweerd dat een team van Russische hackers de cyberaanval hebben uitgevoerd en mogelijk nog toegang tot de systemen van Sony Pictures Entertainment hebben. Het bewijsmateriaal in het rapport geeft aan dat Russische en Noord-Koreaanse hackers ofwel aparte aanvallen tegelijkertijd uitvoerde, of dat Noord-Korea niet betrokken is geweest bij de aanval en deze is uitgevoerd door één of meer Russen. Een andere mogelijkheid is dat Noord-Korea de aanval heeft uitbesteed aan de Russen.

Het bewijsmateriaal uit het rapport was gebaseerd op contact met Yama Tough, een Russische black hat hacker die verantwoordelijk was voor aanvallen onder meer bij Symantec[34] in 2006. Tough zou contact hebben gehad met een lid van een team dat verantwoordelijk was voor de aanval bij Sony Pictures Entertainment. Deze onbekende Russische hacker wordt door Tough omschreven als een black hat hacker die weleens werkzaamheden uitvoerde voor de Federalnaja sloezjba bezopasnosti, de Russische geheime dienst.

Als bewijsmateriaal leverde de onbekende Russische hacker twee Excel-bestanden die geen onderdeel waren van de eerdere datalekken van de aanval op Sony aan Yama Tough. Later werd 100MB aan Sony-data overhandigd aan Tough, die hier zes bestanden van ter beschikking stelde aan Taia Global. Bij deze bestanden zaten e-mails met een tijdsaanduiding van 14 en 23 januari 2015. Dit zou betekenen dat de onbekende Russische hacker nog toegang zou hebben tot de systemen van Sony Pictures Entertainment. Taia global kreeg onafhankelijke bevestiging van de auteur van een van de documenten dat deze authentiek was. Ander bewijsmateriaal bestond uit een vorm van taalkundige analyse. Hierbij werden kleine datasets geanalyseerd met een combinatie van stylometrie en contrastieve taalkunde. Uit deze analyse kwam naar voren dat er een hogere waarschijnlijkheid is dat de Russische taal de moedertaal is van de daders dan Koreaans verder zouden Chinees en Duits tot onwaarschijnlijke mogelijkheden behoren.

Methode

bewerken
Toegang
bewerken

Volgens het rapport van Taia Global[18] hebben de daders zich toegang verschaft tot het interne netwerk van Sony door het versturen van phishing e-mails gericht aan Sony-medewerkers, FBI-directeur James B. Comey refereert hier ook naar in zijn toespraak op de Universiteit van Fordham.[4] In deze e-mail zat een pdf-bestand als bijlage, hierin zat een remote access tool (RAT) waarmee de daders toegang kregen tot het interne netwerk van Sony. Door escaleren van privileges, een methode waarbij een dader binnenkomt met bijvoorbeeld een gastaccount en rechten verkrijgt tot een account met meer rechten, konden de daders de payload van het computervirus lanceren. Mogelijk is hierbij gebruikgemaakt van social engineering, de malware maakt namelijk contact met een set specifieke hostnames waarbij gebruikgemaakt werd van vooraf gedefinieerde wachtwoorden.[32][35][36]

Malware
bewerken

Op 1 december 2014 gaf de FBI een waarschuwing af aan bedrijven in de Verenigde Staten over kwaadaardige malware die verbonden wordt met de aanval op Sony Pictures Entertainment, aldus een bericht van persbureau Reuters.[37] Deze malware komt bekend te staan als BKDR_WIPALL[32][38] of Backdoor.Destover[36][39] en gebruikt verschillende technieken en onderdelen die ook gebruikt werden bij de aanval op Saudi Aramco van augustus 2012[40] en de "DarkSeoul" aanval in Zuid-Korea in maart 2013. Nadat de trojan zich toegang heeft verschaft, wordt er een achterdeurtje geopend waarna de daders toegang krijgen tot de geïnfecteerde computer en er bestanden en gegevens kunnen worden doorgesluisd. Wanneer de operatie is voltooid wordt de harde schijf van de geïnfecteerde computer gewist, hierna start de computer opnieuw op en wordt er een afbeelding weergegeven met de Guardians of Peace-waarschuwing. De malware vertoonde hiermee ook overeenkomsten met ransomware zoals het cyberpolitie-virus.

De schade als gevolg van de aanval is aanzienlijk voor Sony Pictures Entertainment. Salarissen van hoge functionarissen, films,persoonlijke gegevens van medewerkers, beroemdheden en vertrouwelijke bedrijfsgegevens werden buitgemaakt.[3] Er werden vijf nieuwe films van Sony op piraterij websites geplaatst. Het zou gaan om de films Fury, Annie, Mr. Turner, Still Alice en "To Write Love on Her Arms".[41] Bovendien werd het script van de nieuwe James Bond-film Spectre gelekt.[42] Op 16 april 2015 publiceerde de website WikiLeaks een analyse en zoeksysteem voor een deel van de gelekte informatie. Er werden 30.287 documenten en 173.132 e-mails ter beschikking gesteld.[43]

Sony Pictures Entertainment heeft verder veel imagoschade opgelopen door de aanval. Onder de gelekte e-mails waren gesprekken tussen bestuursvoorzitter Amy Pascal en filmproducent Scott Rudin, in deze gesprekken worden onder meer racistische opmerkingen gemaakt over Barack Obama[44] en worden er venijnige opmerkingen gericht aan beroemdheden zoals Angelina Jolie.[45] Beiden hebben hun excuses[46] aangeboden voor de opmerkingen richting Obama via het entertainmenttijdschrift Variety[47], over de opmerkingen richting Jolie werd niet gesproken. Deze e-mails hebben er mogelijk aan bijgedragen dat Amy Pascal haar aftreden als bestuursvoorzitter aankondigde op 5 februari 2015.[48]

Sony beraamde de directe schade van de cyberaanval op 15 miljoen euro. Het ging hierbij dan voornamelijk om onderzoek en saneringskosten. Het bedrijf is hier volledig voor verzekerd en er zijn dus geen extra kostenbesparingen noodzakelijk aldus bestuursvoorzitter Michael Lynton. Experts schatte de schade in rond de 85 miljoen euro.[49][50] De schade van de aanval was zo groot dat het bedrijf ook werd gedwongen om de publicatie van de derdekwartaalcijfers van 2014 uit te stellen tot eind maart.[51]