SONY Corea, el FBI va de solista

El 24 de noviembre de 2014 se descubre el hacking más mediático de la historia, alguien llamado “GOP” (Guardians Of Peace) ha conseguido infiltrarse en la red informática de Sony Pictures, una de las productoras de cines más grandes, y realizar múltiples acciones, entre ellas:

1) Robar direcciones de email, documentación interna, direcciones de personajes famosos, números de teléfono privados, presupuestos, contratos, etc, etc, etc.
2) Extraer varias películas antes de que se estrenen en el cine, como Corazones de acero, Annie, Siempre Alice, Mr. Turner y To Write Love on Her Arms (Aún no tiene título en Español).
3) Borrar todo, de todos los ordenadores que les fue posible.

Según el FBI este acto ha sido cometido por el gobierno de Corea del Norte como demostración de fuerza en la ciberguerra (término horroroso donde los haya).

Esta afirmación del FBI se basa en que los atacantes fueron descuidados y una dirección IP de Corea del Norte apareció en los registros del ataque. A pesar de que este hecho puede ser cierto, los mayores expertos mundiales apuntan en otra dirección ya que difícilmente un país como Corea del Norte tiene capacidad para absorber los más de 100 terabytes extraídos sin que salten las alarmas de la CIA, el Pentágono y cualquier otro acrónimo americano.

Repasando los hechos

Los gobiernos cuando comprometen un sistema nunca reclaman la autoría, de hecho ni lo hacen saber ya que cuanto más tiempo puedan estar dentro del mismo, más información de valor pueden obtener. Sólo los grupos de hackers se identifican de algún modo para intentar alcanzar notoriedad, una vez han ordeñado por completo el sistema.

La estructura del ataque implica un conocimiento bastante extenso de la red interna de SONY, lo que apunta claramente a un insider (persona que trabaja o trabajaba recientemente en la compañía). Para un atacante externo que no conoce la estructura interna es muy complicado ir pivotando de máquina en máquina sin levantar sospechas, ya que muchas veces hay que realizar pruebas en cada nueva máquina para alcanzar la capacidad de pivotar en la misma. Realizar estas pruebas a veces implica intentar exploits que fácilmente pueden poner sobre aviso al operador o al administrador de la red. Si conocemos bien la estructura interna, así como direcciones, máquinas, versiones, etc, los ataques a cada máquina pueden ser fácilmente seleccionados antes de cometer el mismo.

El FBI desoye la opinión de los mayores expertos en seguridad IT del mundo, desde simples freelance hasta compañías de la importancia de Norse.

Curiosamente la amenaza que aparecía en los ordenadores de SONY decía que si no se cumplían las exigencias la información interna sería revelada, lo curioso es que no había exigencia de ningún tipo, no al menos en las imágenes que aparecían en su día.

La segunda gran pista del FBI que apunta a Corea del Norte es que una de las aplicaciones usadas en el ataque fue compilada en un sistema configurado con el idioma coreano, como si nadie en Madrid tuviera su Windows/Linux configurado en Catalán, Gallego, Euskera o Klingon. Es cierto que una variante de esa misma aplicación fue usada con éxito en el pasado en unos ataques a bancos de Corea del Sur, desde Corea del Norte. No obstante casi todas las aplicaciones, troyanos, exploits, etc, que se usan en la ciberguerra se pueden conseguir en el mercado negro por un trozo de BitCoin, muchas de ellas con capacidad automática de generar nuevas versiones de si mismas que escapen a la detección de los antivirus.

Tras esta parrafada no quiero decir que no haya sido Corea del Norte, sólo que la información que aporta el FBI para tal afirmación es extremadamente endeble, y que la teoría del empleado descontento (despedido hace unos meses del departamento de IT) ayudado por unos “amigos” para proveerle ciertas máquinas comprometidas a lo largo y ancho del globo tiene mucha más base y credibilidad. Es difícil de creer que Corea del Norte se apoye en máquinas comprometidas en países como Bolivia,  Chipre, Italia, Polonia, Singapur o Tailandia para acometer el ataque; estas son más bien máquinas de oportunidad.

Algunos enlaces interesantes, curiosamente sólo uno que apoye la teoría del FBI:

Timeline: North Korea and the Sony Pictures hack
New evidence Sony hack was ‘inside’ job, not North Korea
Despite What the Cyber Skeptics Say, North Korea Is Behind the Sony Hack
Unreleased Sony movies appear on filesharing sites after devastating hack
Were hackers behind North Korea outage?
Sony/Destover: mystery North Korean actor’s destructive and past network activity
Norse Investigation Focusing on a Small Group, Including Sony Ex-Employees
The Security Ledger

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *