Tech

A Sony hack

 
 
– S O N Y H A C K-.- ␖
 
WWW-WORLD WEB WAR
-a cikk és az idővonal:
A SonyHack , A Guardians Of Peace , A LizardSquad / Cikk a történetről+digitális támadás térkép
 
Szóval akkor mi is történt, történik a kiber térben, kik a szereplők, mi ez az egész, ami november végén robbant ki a sony malware támadással.
A bevezető cikket itt olvashatjátok: http://pastebin.com/Shq5GE3w
 
Egy Timeline a történtekről, aztán elmélyülünk ebben az egészben picit:
 
2014 November végén a Sony Pictures Entertainment(SPE)tudomást szerez jelentős a hálózatukat ért támadásról.
Reddit (reddit.com) poszt, egy Sony dolgozótól felkerült screenshot(képernyőmentés) a hálózat számítógépein megjelent deface(képüzenet) üzenetről.
Az akciót a magát Guardians of Peace(#GOP)vallotta magáénak.
 
#GOP feltört több Sonyval kapcsolatos Twitter fiókot, és támadási motívumokat tweetelt .
Egy interjúban a TheVerge.com -al, A #GOP feltételezett tagjai kijelentették,hogy a csoport együtt dolgozott más hackerekkel,esetleg Sony alkalmazottakal a támadásban.(nem hivatalos)
 
A idővonal:
 
Június 2014
11. – Első előzetes az Interview c. filmből
25. – Észak-Koreai reakció, lépseket helyeztek kilátásba, ha az Usa bemutatja a filmet, “az háborús körülményekhez vezethet”
 
Julius 2014
10. – UN nek írt Észak-Koreai panasz a film miatt
 
Augusztus 2014
14. – Sony elgondolkodik a Kim haláljelenetének kivágásáról, az arclemállós jelenet’ : http://i.kinja-img.com/gawker-media/image/upload/s–zpt7mTsT–/imqalmhsaxu4zssrjheg.gif
 
November 2014
21. – A támadók állítólag kártékony emaileket küldenek SPE vezetőknek
24. – Teljes hálózati deface és leállás az SPE nél : http://ow.ly/GqQ7o
25. – SPE nyilvánosan elismeri a támadást
26. – #GOP szivárogtatni kezdi torrent oldalakon az öt korábban kiadatlan filmet: – Annie, Fury, Still Alice, Mr. Turner és To Write Love on Her Arms
29. – #GOP elérhetővé teszi az SPE értékesítési adatait és a humán erőforrások bejegyzéseit
 
December 2014
2. – FBI riasztja a nagyobb vállalatokat és a kormány portáljait, hogy nagyon figyeljenek, mert egy ilyen támadás bármely rendszeren keresztülment volna, vagy mehetett.
3. – #GOP leak: a hackelt szerverek listája, szöveges jelszavak
5. – #GOP leak: pénzügyi adatok, tervezés, és szerződések
5. – #GOP emailben fenyegeti a Sony alkalmazottakat és családtagjaikat
7. – Észak-Korea üdvözli a támadást, de tagadja szerepét
8. – #GOP leak: egy másik adag az SPE belső dokumentumaiból, belső e-mailek és ismert színészek elérhetősége [linket később eltávolították]
8. – Playstation store elérhetetlen (lizard squad)
13. – #GOP leak: belső SPE dokumentumok: a kalózkodás elleni intézkedések
14. – #GOP leak: e-mailek Steven O’Dell [link később eltávolították]
16. – #GOP leak: e-mailek Michael Lynton és megfenyegetik egy esetleges 9/11 stilusó terrortámadással a mozilátogatókat (TheInterview)
17. – Nem hivatalos jelentések azonosítják Észak-Koreát, mint a központi alakját a támadásoknak
18. – Terrorfenyegetés, ha nem változtat az SPE Kim haláljelenetén. http://pastebin.com/m4YB2TJd
18. – #GOP e-maileket leakel SPE vezetőktől, kijelentik győzelmüket és kifejezik elégedettségüket a Sony azon döntését követően, hogy nem kerül mozikba Az Interjú c. film.
19. – FBI megerősíti Észak-Korea felelősségét a támadásokban: http://www.fbi.gov/news/pressrel/press-releases/update-on-sony-investigation
20. – #GOP Üzenetet hagy az FBI nak: http://pastebin.com/mtFznt6A / https://www.youtube.com/watch?v=hiRacdl02w4
22. – Észak-Korea: Elérhetetlen az internet 9 óra hosszan: (feltételezések szerint a GatorLeauge hackerTeam műve) https://twitter.com/akamai_soti/status/547223813008916480/photo/1 , twitter fiók: https://twitter.com/GatorLeague
23. – Sony visszavonja korábbi bejelentését, és sajtótájékoztatón közli, hogy mégis levetítik a filmet sőt már 24.én este elérhető 5,99$ ért több filmkölcsönző applikáción, és néhány kiválasztott moziban.
23. – 2 órára eltűnik ÉK az internetről, Észak-Koreából lehetetlen elérni az internetet
23. – Obama az internet veszélyeire mutogatva kijelenti, hogy szigorítani kell az internet átláthatóságát
23. – TOR hálózat súlyos támadást szenved (feltételezett anonym hálózat, amin keresztül a támadást kivitelezték) Bevett nyomozási módszer a hálózat túlterhelésével a forgalom manipulálásával internetes újlenyomatokat gyűjteni.
24. – Dél-Koreai atomerőmű hacked, 3 reaktort leállítottak karácsony este
24.25.26. – XboxLive hálózat Ddos támadás alatt (lizard squad) http://hackread.com/lizard-squad-shuts-down-sony-playstation-xbox-live/
 
Szereplők: GOP /aka Guardians of Peace része vagy maga a God’sApstls -nek ()
 
TTP (-Taktika -Technika -Procedura):
-wiper(ablaktörlő) malware
-adathalászat
-Deface (oldal átirása eltorzítása)
-adatszivárogtatás pastebin oldlaon és torrent fájlokon
-blackmail fenyegetés és zsarolás
-terrorfenyegetés
 
Lizard Squad
 
TTP:
-DDos túlterheléses támadás
-Doxolás()
-Crack
Gator Leauge
-DDos
 
Ami már tisztán kirajzolódott mára, hogy a playstation és Xbox hálózatok túlterheléséért a LizardSquad a felelős, akik nem megerősített információk szerint a GOP -al együttműködve támadják a Sony-t.
Amíg a GOP és God’sApstls nincs jelen social médiában,
a LizarSquad és crew-ja a Twitteren :
https://twitter.com/FUCKCRUCIFIX
https://twitter.com/Dox_Boi
https://twitter.com/Reactuh
https://twitter.com/Stretcher
a GatorLeauge a twitteren
https://twitter.com/GatorLeague
https://twitter.com/GatorSecurity
 
Az Anonymous egy squadja nevezetesen a FinestSquad https://twitter.com/finestsquad
éppen háborúban áll a Lizardokkal, egymás twitterei, oldalai és Doxolás,azaz egymás dokumentálásában nyilvánul meg.
A LizardSquad és a GOP Stílusa és technikája között természetesen fényévek vanak a GOP javára, amíg a LizardSquad egy rést találva és kihasználva egyszerü
Túlterheléssel operál,ami a Piaci adatokat annyira nem zaklatja fel, mint a gamereket, (ezért is állt a játékosok oldalára az Anon egy csoportja) addig a GOP félelmetes precizítással, energiabefektetéssel technikai 5 csillaggal vívja háborúját.
 
Hogy miért is terelődött ÉK ra a gyanú annak ellenére, hogy az Fbi és A Sony is kijelentette: konkrét bizonyítékuk nincsen arra vonatkozóan hogy Észak-Korea áll a háttérben.
Íme, az a pár dolog ami meggyőzte az Usát és a Sony-t ÉK érintettségéről:
 
A malware vírusról, amivel bevették a szerverzetet:
 
Annak ellenére, hogy Észak-Korea visszautasítja a vádakat,a technikai kivitelezésben TTP’ nagyon hasonló a dolog korábban ÉK által kivitelezett támadásokhoz.
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/HP-Security-Briefing-episode-16-Profiling-an-enigma-North-Korea/ba-p/6588592#.VJy8SF4hQA
Még mindig nagyon sok a megváloszalatlan kérdés, mint hogy mióta tarthat a lékelés,lehetett e belső segítő,mert az biztos hogy ezt az akciót több hónapig készítették elő,és vitelezték ki, és több hónapja ha nem éve kóvályoghatnak a rendszerben.
Miért Észak-Korea?
Legutoljára 2013 március 20. án volt ilyen nívójú,és nagyságú támadás nevezetesen a “Dark Seoul” ami akkor padlózta le Dél-Korea BAnki, és teljes ATM rendszerét 2 napra,
amikor a Dél-Koreai hadsereg az USÁval hadgyakorlatokat tervezett a Peninsula területen.A támadásban 3 óriás bank és 2 legnagyobb TV adó került padlóra.
Az eszköztár és a Deface hez használt képek nagyon hasonlóak stílusukban a sonynál használtakéhoz lásd itt: http://krebsonsecurity.com/wp-content/uploads/2014/12/whois-sony.png
Bal oldali kép a 2013 as Dél-Korea elleni hack nél használták, a jobb oldalit a Sony hacknél. Az akkori támadásokat a WHOIS team és a NewRomanic Cyber Army vállalta, feltételezhetően ugyanaz a csoport, (és a GOP al is azonosítják)
róluk sincs semmi a social médiákon, az érdekessége a 2013 as Dél-Korea elleni támadásnak hogy a vírus törlés funkcióját ami az adatok törléséért felelős, módosították úgy hogy a rendszer összes progjamját és alkamazását arra kényszerítette,
hogy a képernyőkön a következő két szó ismétlődött: -“hastati” ÉS -“principes”
Ezek ókori Római hadosztályok, a hastati a fiatalabb szegényebb rétagből tevődött össze, főleg az első sorokba helyezték őket, a principes pedig képzettebb tapasztaltabb katonák.
Az akkor használt DarkSeoul nagyon hasonlóan működik a Sony ellen bevetett Wormhoz. Mintha egy átirata lenne.Hackerek rendszeresen használnak régi kártékony
softwarek egy egy komponensét,a Wormban a DarkSeoul 6 komponense egyezik ugyanolyan felépítésű, update -elt WormTool .
 
Hogyan is működik egy ilyen dolog lássuk:
 
SMB Worm Tool:
5 jellemző komponens :
1 Listening Implant
2 Lightweight Backdoor
3 Proxy Tool
4 Destructive Hard Drive Tool
5 and Destructive Target Cleaning Tool
 
‘SMB’- Server Message Block , a hálózaton a megosztásokért felelős bővebben: http://hu.wikipedia.org/wiki/Samba.
Ezen keresztűl szaporítja magát a vírus,Brute force támadást használ a terjeszkedéshez, / beállított azonosító-jelszó párosokkal szótárfájlban addig probálkozik a különböző kombinációkkal amíg sikeresen be nem lép a célrendszerbe.
Közben minden 5 percben “haza”kapcsol,és log file okat riportokat küld a stádiumról, ha a program sikeresen felhelyezte magát egy következő Windows egységre a 445-ös porton keresztül ahol az SMB funkcionál.
Amikor a frissen megtámadott felületre került a program, elkezd egy új scan-t,és új SMB kapcsolatokért kutat,és támad,a megfertőzött rendszerek között így létrejön egy file sharing/megosztó kapcsolat,folyosó.
1. komponens a Listening Implant az öninstallálás közben létrehoz egy AES titkoítással ellátott implantátumot, ami aztán a speciális portokon hallgatja, vagy figyeli a kapcsolatot
2. komponens a Lightweight Backdoor ez egy service.dll nek dizájnolt fájl,ez a felelős a fájlmegosztásért , rendszer mentéshez, és különböző procedurák manipulálásához
Ezt a komponenst használják, hogy a háózatok tűzfalain portokat nyissanak meg azután routereket keressenek, hogy azokon keresztül terjedjenek.
3. komponense a Proxy Tool ami a megfertőzött rendszeren nyomoz, listázza a könyvtárakat,és alkalmazásokat programokat,lehetővé teszi parancsok lefuttatását a támadó vagyis a távoli gép oldaláról, és fájlokat közvetít,ment .
4. komponens a Destructive Hard Drive Tool ez a komponens azt csinálja hogy törli a merevlemez tartalmát az utolsó visszaállítási pontig,és komplikálja a rendszer filerendszer recovery jét, visszaállíthatóságát.
Egyszerűen átírja a MBR*-t a master boot recordot (google a barátod azért sok helyen bár próbáljuk érthetően fogalmazni)
Ez miután kipucolt mindent még alszik 2 órát aztán újraindítja a rendszert./itt a GOP egy módosítással arra utasította x`.dll-t hogy egy üzenet jelenjen meg az áldozat gép képernyojén, kép: http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_wallpaper2.jpg
5.Destructive Target Cleaning Tool Ez a komponense aztán használhatatlanná teszi az újrabootolt rendszert
 
Ami érdekessé teszi még a támadást, hogy a Sonytól ellopott root-certificate-ből gyúrt új sony certificatekkel láttak el
malware verziókat, amik később fertőzött gépek offline tartásában játszottak szerepet.
a GOP a Leakjében (lejebb) ezeket a certificateket és más,pl Bankok biztonsági rendszeréhez tartozókat(JPMorgan) is elérhetővé tett.* screenshot:
http://cdn.arstechnica.net/wp-content/uploads/2014/12/certificates.png
A támadásban összesen 1600 Linux és Unix szerver,811 windows szerver,10700 személyes a sonyhoz tartozó számítógép esett áldozatul.
Sok terabájtnyi anyag került így a GOP kezébe.
 
 
ÉSZAK-KOREA VOLT?
 
A stílus, a technika, az eszköz nagyon hasonló A pack koreai nyelven íródott.
De mi van, ha valaki direkt így tervezte az akcióját?De mi van ha nem…
A taktika is nagyon hasonló az ÉK hoz köthető WhoIs Team, IsOne, és Hastati hacker csoportokéhoz. Ezek a csoportok használták a DarkSeoul malwaret,és részt vettek az OperaionTroy (2010től az NSTAR Trojannal) /2013 Darksoul*/akcióban .
A Dél-Koreai vezetés szerint a csoportok az ÉK kormány North Korea’s Lab 110 alá tartoznak,ami viszont a LAb 121 alá tartozik, aminek a feladata kiber felderítés, beszivárgás célrendszerekbe,Kém-hackelés,ellenséges rendszerek fertőzése.
MOTIVÁCIÓ
A film The Interview mint a legerősebb, főleg hogy ÉK Juniusban a leggusztustalanabb háborús provokációnak nevezte a filmet.
A Dec. 16 leakben 9/11 szintü terrortámadással fenyegeti a mozilátogatókat
MEGJEGYZÉS
Több szakértő felhívja a figyelmet a tényre hogy ÉK valószínűleg egyedül erre nem volt képes, vagy belső, vagy külső segítői lehettek, Néhány helyen Iráni kapcsolatokat is említenek.
A tegnapi DK atomerőmű támadása igaz hogy a “president of anti-nuclear reactor group in Hawaii” vallotta magáénak, de már megint ez is egy név a semmiben, mint a többi ÉK gyanús crew
MEGVÁLASZOLATLAN KÉRDÉSEK
Amíg a média megnevezi ÉSZAK-KOREÁT,meg nem nevezett US hivatalnokokra hivatkoznak mint forrás, ami több dolgot is eltakar a tisztánlátásban
Az hogy hogyan indult útjára a vírus, belső segítséggel? Adathalászattal? Ismeretlen…
És hogyan sikerült több terányi adatot feltűnésmentesen kimenteni. Emögött hatalmas infrastruktúrának kellett lennie.
Honnan ismerhették ennyire a rendszert, a malware elkészítéséhez erre szükség lehetett.
Ebben annyi energia és pénz volt fektetve, hogy ha a cél a sonynak veszteséget okozni ami megközelíti az 1 milliárd dollárt,elég veszteséges terv lehetett anyagilag.
KÖVETKEZETLENSÉG
A GOP nak vannak furcsa látszólag jelentéktelen vagy eddig ismeretlen megnyilvánulásai, mint pl. a legtöbb data leak zip dump a következő kóddal hozzáférhető:
“diespe123” (letöltésnél majd ezt használjátok) Die SPE 123 nek olvasható de a 14.-i leak a “diespe135” használja, eddig nem tudni miért lehet hogy nem is lényeges ez.
Amíg sok szállal kötődik a támadás ÉK -hoz, addig néhány szakértő ugyancsak egyezéseket talált TTP ben az Iráni Qassam Cyber Fighters -val.
Ez is opció: China, Russia, Syria, and Iran mint segítők.
 
Összeesküvés elmélet * : Amíg a sonyhack uralta a Médiát(legalábbis nyugatabbra)addig megfeledkeztünk a CIA nyilvánosságra hozott kínzási jegyzőkönyveiről.
Összeesküvés elmélet * : Amikor a Sony visszavonta a film vetítését, a világ felfigyelt,és elkezdtek foglalkozni ezzel a dologgal, majd 23-án bejelentik, hogy lemegy a film, ami harmadosztályú semmilyen semmi’ és 100000X annyian kíváncsiak rá mint előtte … Óriási kassza’ szép PR!
Összeesküvés elmélet * : A diplomáciai , biztonsági, piaci veszteség miatt a régen szemeket szúró TOR hálózat illegalizálása, ellehetetlenítése,újabb internetes korlátozások törvénybe emelése terrorveszély bélyegével,
lásd maga a tor közleményét: https://blog.torproject.org/blog/possible-upcoming-attempts-disable-tor-network
 
A mirror link a LEAK-hez, torrent letöltés működik,a fájlfeltörős oldalakról már leszedették.
h t t p : / / ctrlbox . com / docs / gop /
 
Tehát GOP A sonyhack több terányi dolgáért és egész rendszeréért felelős, a Lizard squad a Playstation/Xbox hálózatok túlterheléséért felelős, a kapcsolat közöttük
nem biztos, és hogy a GatorLeauge leszedte ÉK-t a netről,lehet.de nem biztos.Nagyon nagy divat háttérben titkos akciókat felvállalni, hogy 10k követőhöz juss twitteren…
Nem tudjuk hová vezet mindez, és a Hackerek eddig nem léptek. Valahogy a Sony Dec.23 -i bejelentése óta ,hogy a film mégis itt van tessék, semmi jel.
 
A film lehet provokáció ÉK felé, és az egész hack ezért akár gyanús is lehet esetleges US tipikus közvélemény manipulálásához, de lehet tiszta ÉK visszacsapás is,
és az ugyan nem olyan biztos, hogy a sony inside job-ja vagy saját akciója lenne, a film promótálása érdekében,hiszen ekkora károkat szenvedni érte, és odaadni 5 másik
jó bevétellel számoló mozifilmet,az kizárt.
De hogy a folyamat közben felhasználták a Hack körül kialakult érdeklődést a film reklámozásához, az szinte biztosnak látszik.
 
A GOP és az FBI :
 
Két üzenetet is küldtek az FBI nak:
 
“By GOP
The result of investigation by FBI is so excellent that you might have seen what we were doing with your own eyes.
/Annyira tökéletes a nyomozás az FBI részéről,saját szemetekkel láthattátok mit tettünk.
We congratulate you success.
/Gratulálunk a sikereitekhez
FBI is the BEST in the world.
/Az FBI a legjobb a világon
You will find the gift for FBI at the following address. https://www.youtube.com/watch?v=hiRacdl02w4#t=63 ”
/Találsz egy meglepit az FBI számára a következő linken
 
a Másikban azt írják mindenről van tudomásuk ami az FBI ben történik.
 
Egy nem hivatalos twitter fiók szerint kijelentik magukról hogy a GOP nem É-Koreai.
 
Az ANONYMOUS És A SONYHACK
 
miután a Sony visszavonja a film vetítését az Anon a Sonynak szánt üzenetben kijelenti, ha a Sony a fenyegetések miatt nem mutatja be a filmet
az a szabad vélemény nyílvánítást sérti és kilátásba helyez annyi kiber támadást amennyit elbír még a sony gerince. http://pastebin.com/xEmKN3ui
Ugyanakkor É-Koreát is megfenyegeti, vállaja is az internet struktúrát ért támadásokat É-Koreában
http://www.washingtonpost.com/blogs/the-switch/wp/2014/12/23/north-koreas-internet-outage-was-likely-the-work-of-hacktivists-but-not-the-ones-you-might-think/
 
Eddig ez rajzolódott ki a ködben.Amint frissül a sztori, postoljuk!Remélhetőleg
vannak akik így rálátást nyertek arra a világra ami a weboldalak mögött létezik.
A több ezer hacker csapat közül ma csak 1-2 -t mutattunk be mert ők kötehtőek a legsőlyosabb kibertámadáshoz jelenleg,de a történések ezen kÍvül is nagyon érdekesek.
Ha szeretnétek hogy a következő boncolt téma a LuLzSeC a legnagyobb anonhoz köthető hackerteam és tevékenységei legyen kommentben jelezzétek!
Elég izgalmas téma: FBI megcsinálása, a stratfort , kormányszerverek, kémkedés, besúgás ,spicliAnon aka Sabu, letartóztatások, Fbi informátor,/ FBI használta az anont
Külföldi kormányszerverek támadásához.
ÜDV
mégegyszer A mirror link a LEAK hez, torrent letöltés működik,a fájlfeltötős linkek nem!
h tt p : / /c t r l b o x . c o m / d o c s / g o p /
 
Reméljük érdemes volt!
@ophunanon a twitteren https://twitter.com/OpHunAnon
@ophunanon a rebelmouse -on https://www.rebelmouse.com/OpHunAnon/
operationHungary a google+ -on
 
Plusz digital attack térkép — http://www.digitalattackmap.com/
 
#sonyhack #gop #lizardsquad #theinterview #fbi #obama #eszakkorea #hoax #ddos #malware #deface #leak #threat #conspiráció
Please follow and like us:
d3rr1ck
sudo rm -rf /"

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük