据研究人员在程序代码中发现的技术证据显示,FBI本周向一些公司发出警告的破坏性恶意程序很可能被用于攻击索尼影视娱乐公司。
11月24日有报道称,索尼在美国的子公司索尼影视娱乐公司的计算机网络被黑客入侵。据报道,在攻击者的电脑屏幕上显示了一条名为“和平卫士”(GOP)的信息后,该公司的员工无法再使用自己的电脑。
周一,联邦调查局发送保密长达五页的警告一个破坏性的恶意软件程序可以覆盖计算机硬盘驱动器上的数据,包括保存分区信息的主引导记录。
一些安全专家推测,该恶意软件被用来攻击索尼,但联邦调查局拒绝证实这一假说。不过,从趋势科技和AlienVault安全研究人员获得了在FBI警告描述的恶意软件样本,发现了强有力的证据,这是针对索尼使用。
趋势科技的恶意软件检测BKDR_WIPALL,包括diskpartmg16有几个组件。exe, igfxtrayx .exe和usbdrv32。趋势科技公司的研究人员表示一篇博客文章星期三。他们说,diskpartmg16.exe文件是初始安装程序,包含一组加密的用户名和密码,用于访问共享网络。
在趋势科技(Trend Micro)发布的恶意软件代码截图中,这些证书被故意模糊,但可见部分显示,这些证书以SPE开头,可能是索尼影视娱乐公司(Sony Pictures Entertainment)的缩写。
恶意软件将名为wall .bmp的位图图像文件放到被感染的系统上,这是与该公司更强的连接。这个文件是一张壁纸,里面是索尼影视娱乐公司的员工在他们的电脑上看到的共和党的信息。
AlienVault的研究人员也将恶意软件与针对SPE的攻击联系起来。
“从我们获得的样本,我们可以说以来攻击者知道索尼的内部网络服务器的恶意软件样本包含硬编码名称在索尼的网络甚至credentials-usernames和密码连接到系统的恶意软件使用内部网络,“Jaime Blasco说,通过电子邮件AlienVault实验室主任。
Blasco说,编写恶意软件的黑客在他们的系统上使用了韩语。一些人认为,这一点支持了朝鲜是这次袭击的幕后黑手的说法,但安全专家表示说这不太可能。
