Provas técnicas ligam malware ao ataque sobre a Sony

O software destrutivo contém nomes de utilizadores, passwords, e uma imagem associada com a Sony Pictures Entertainment, dizem investigadores.

Código do BKDR_WIPALL

Código do BKDR_WIPALL

O programa de malware destrutivo, para o qual a FBI alertou na última segunda-feira, foi provavelmente usado contra a Sony Pictures Entertainment, de acordo com dados técnicos descobertos por investigadores. A 24 de Novembro começaram a surgir relatos na Internet, de quea rede de computadores da Sony Pictures Entertainment, subsidiária sediada nos Estados Unidos, fora infiltrada por hackers.

Os funcionários da empresa deixaram de conseguir usar os seus computadores depois de uma mensagem dos atacantes, um grupo chamado Guardians of Peace (GOP), aparecer nos seus ecrãs. Na última segunda-feira, a aviso do FBI descreve um programa de malware capaz de substituir os dados no disco rígido de um computador, incluindo o seu registo base de inicialização, onde estão informações sobre as partições, do suporte.

Alguns profissionais de segurança especularam que o malware foi usado para atacar a Sony, mas as autioridades federais recusaram-se a confirmar esta hipótese. No entanto, investigadores da Trend Micro e AlienVault dizem ter obtido amostras do malware e encontrado fortes evidências da sua utilização contra a Sony.

O software nocivo, denominado pela Trend Micro como BKDR_WIPALL, tem vários componentes: diskpartmg16.exe, igfxtrayex.exe e usbdrv32.sys. O arquivo diskpartmg16.exe é o instalador inicial e contém um conjunto de nomes de utilizadores e passwords cifradas para aceder à rede partilhada, disseram. As credenciais foram intencionalmente desfocadas, mas partes visíveis mostram que eles estão dispostos em linhas começadas em SPE, provavelmente iniciais de Sony Pictures Entertainment.

Os hackers compilaram o malware num idioma coreano, mas  especialistas em segurança consideram pouco provável uma ligação à  Coreia do Norte.

Jaime Blasco, director de AlienVault Labs, diz “que os agressores conheciam a rede interna da Sony já que as amostras de malware [obtidas] contêm nomes embutidos de servidores existentes na rede da Sony e até mesmo credenciais ‒ nomes de utilizador e passwords ‒ que o software utiliza para se ligar a sistemas dentro da rede”. Os hackers compilaram o malware num idioma coreano, de acordo com o responsável.

Alguns investigadores dedefendem que este detalhe suporta a teoria de que a Coréia do Norte esteve por trás do ataque. Mas outros especialistas em segurança dizem ser improvável.




Deixe um comentário

O seu email não será publicado