Ciberataque a

Sony Pictures
AVILA TARRILLO BRANDON
Contexto

 EL estreno de The Interview una parodia del líder politio de Corea

del Norte.
 Tres días antes, los altos ejecutivos, su presidenta, Amy Pascal, y
Michael Lynton, consejero delegado de la compañía, habían
recibido la primera amenaza directa de los piratas informáticos.
«Queremos una compensación económica. Paguen el daño
causado o Sony será bombardeado». El estudio empezó a
sospechar que detrás de aquellas coacciones podía estar Corea
del Norte. Hacía meses que el régimen asiático había reconocido
el film de acto de guerra y de terrorismo gratuito.
Desarrollo de el ataque:

 El 24 de noviembre El grupo de Hackers Guardians of Peace se

atribuyo el ataque
 Se logro el acceso a la cuenta de un administrador a la intranet de
SONY.
 Obtención de certificados originales a nombre de Sony
 Sony almacenaba sus contraseñas en un directorio “contraseñas”
 Lo que facilito aun mas la obtención de los 100 TB de información
confidencial
 Además de introducir Malware en los ordenadores de la empresa
Shamoon
 Se utilizó en contra de las empresas de energía de Oriente Medio en 2012.
Shamoon daño decenas de miles de computadoras en la petrolera
nacional de Arabia Saudita
 Shamoon es inusual porque se hace todo lo posible para asegurar los datos
destruidos no se pueden recuperar, algo que rara vez se ve en los ataques
dirigidos. Cuenta con capacidades de auto-propagación que permiten que
se propague de computadora a computadora usando discos de red
compartidas. Sobrescribe los discos con una pequeña porción de una
imagen JPEG que se encuentra en Internet.
 El daño en los discos es prácticamente irreparable
Dark Seoul

 Usado en un atentado militar contra bancos y empresas Corea del

Sur en 2013
 Como EldoS anuncia en su sitio web para RawDisk, la biblioteca
ofrece a los desarrolladores de software de acceso directo a
archivos, discos y particiones de los discos (discos duros, discos
flash, etc,) para aplicaciones en modo de usuario, sin pasar por las
limitaciones de seguridad de los sistemas operativos Windows.SIN
PERMISOS
 Esto permitió que el malware para saltar más allá de los permisos de
seguridad restrictivas en el sistema de archivos NTFS de Windows 'y
sobrescribir los datos de la unidad, incluyendo el registro de inicio
maestro (MBR).
Gusano WIPE : Destover
 Basado en Shamoon y Dark Seoul, y fue considerado
indetectable
 Un certificado digital robado de Sony Pictures de alto perfil
se ha utilizado para firmar el malware, según un informe
de Kaspersky Lab.

 Es un Gusano, el cual fue introducido en la red de Sony, a

través de ordenadores personales utilizando La técnica
para el contagio se conoce como "ataque de agujero de
agua", porque se instala el malware en lugares que se
supone serán frecuentados por las personas a las que se
busca infectar - tal como los depredadores atacan a las
presas cuando éstas están bebiendo agua.

 Esta basado en el software malicioso “SHAMOON” el cual

fue utilizado contra empresas de oriente Medio en 2012 y
“Dark Seouls”empresas de Corea del Sur
Funcionalidad del Wiper Destover
 Los aspectos más interesantes de la funcionalidad destructiva del
malware están relacionados con la selección y almacenamiento /
entrega de los Drivers que ahora se utilizan en varias ocasiones en este
tipo de ataques de sabotaje.
 Destover Instala y ejecuta los drivers de EldoS RawDisk para evadir los
permisos de seguridad NTFS y sobrescribir los datos del disco y el propio
MBR.
 Tiene capacidades para funcionar en varios modos
 e ejecuta en un sistema operativo de 64 bits como un servicio de auto-
instalado.
 En una primera ejecución, se crea la "copia de seguridad y
restauración de Gestión" servicio brmgmtsvc de Windows, añade su
propio ejecutable y establece un inicio del comando '-i'. También cae
varias copias de sí mismo y comienza cada uno de ellos con un
comando diferente: -m, -d, y -w.
-m (mbr overwrite)
 Esto intenta conectar con el tres direcciones IP (88.53.215.64,
217.96.33.164, or 203.131.222.102). Incluso si esto no tiene éxito, la
ejecución del proceso se lleva a cabo.
 Se obtiene sus recursos que contiene el controlador EldoS RawDisk
comprimido, y lo escribe a cabo en el directorio temporal como un
'usbdrv3.sys.
 A continuación, instala el Driver como el servicio usbdrv3 'USB 3.0 Host
Controller ".
 Después de esto, se inicia el servicio de Driver y cierra su mango
servicio.
 A continuación, crea un gestor de archivo al Driver con permisos de
escritura
 A continuación, crea nuevos hilos, a cada uno que intenta conectarse
a cualquier posible letra de unidad física y sobrescribir ellos también.
-d (data overwrite):

 intenta conectar con los mismos tres direcciones IP. Una vez más, la
ejecución del proceso se lleva a cabo con independencia de las
comunicaciones.
 Identifica todos los archivos nis no es .exe o .dll el proceso
sobrescribe el contenido del archivo con '0x0df0adba‘
 A continuación, intenta eliminar el archivo de datos utilizando la API
de win32 'DeleteFileW'.
-w (servidor web):

 Esto intenta conectar con los mismos tres direcciones IP.

 Detiene los servicios de Terminal Server de Windows desde la línea
de cmd: "cmd.exe / c net termservice Parada / y ‘
 Entonces descubre recurso # 85, descomprime y escribe
contenidos a 'c: \ windows \ iissvr.exe'.
 Se pone en marcha el proceso iissvr.exe y sale.
 iissvr es lo que parece ser - un servidor web que contiene archivos
JPG HTML codificados y escucha en el puerto 80
 Escucha en el puerto 80
Precauciones a tener

 ACTUALIZAR PROTECCION ANTI-MALWARE

 EDUCAR A LOS USUARIOS
 REALIZAR BACKUPS REGULARMENTE
 ACTUALIZAR LOS PARCHES DE LOS SISTEMAS OPERATIVOS
 MONITOREAR CAMBIOS
Actualidad del Malware

 En la informaicon proporcionada por SOPHOS

 El malware se encuantra en su versión –C
 Clasificado como :
 Troj/Destover-C
 El cual ahora entre otros detalles, encripta su información y es
capas de crear muchísimas mas conexiones IPs

 El proceso que crea es:

 c:\igfxtrayex.exe
Porque se culpo a Corea del
Norte?
 Los hackers utilizaron servidores informáticos en Bolivia, Chipre, Italia, Polonia,
Singapur, Tailandia y Estados Unidos para atacar a Sony.
 Las direcciones IP asociadas con esos servidores “anteriormente (han) sido
relacionadas con Corea del Norte” por el FBI.
 El software malicioso utilizado en contra de Sony tenía lo que el FBI llama
“líneas de código” y “métodos de eliminación de datos” similares al malware
que los “agentes norcoreanos previamente han desarrollado”.
 El software de eliminación informática utilizado contra Sony también fue
utilizado en un ataque de 2013 contra bancos y medios de prensa de Corea
del Sur, que el FBI atribuyó a Corea del Norte.
 El malware fue construido en equipos programados al idioma coreano; algo
inusual en el mundo de la piratería.
 Los hackers exigieron a Sony Pictures que eliminara la película La Entrevista
para evitar el inicio de una guerra por una película.
Consecuencias
 Robo de 100 TB de información de la cual se hizo publica aprox 40 TB
 Los sistemas de Sony se vieron paralizados durante una semana por el gran numero de
bajas
 Fue el mayor sufrido por una empresa de Estados Unidos, paralizó los sistemas informáticos
de la compañía, y derivó en grandes filtraciones de datos, de registros financieros y de
correos electrónicos privados de ejecutivos de Hollywood.
 Fue hackeado un paquete que contiene más de 12.000 correos electrónicos de la cuenta
de correo electrónico Michael Lynton, presidente del estudio.
 Por otro lado, se filtraron innumerables datos y revelaciones inéditas de la industria
hollywoodense.
 En cuanto a daños económicos, Diversos analistas realizaron sus proyecciones respecto a
cómo se ha visto afectada la compañía desde el hackeo a su sitio web, tanto por la
caída de sus acciones en la bolsa como por el dinero perdido en relación a los costos de
producción del perdido film,estimándose pérdidas de hasta $ 200 millones,3 y la compañía
puede sufrir demandas por parte de los actores por no saber proteger bien sus datos.
 Casi un mes después, Corea del Norte sufrió un misterioso ciberapagón, durante nueve
horas del 23 de diciembre.
Dudas y
Reacciones
 Expertos dicen que los responsables del ciberataque a la compañía
cinematográfica habrían sido exempleados, y no Corea del Norte.
 Barack Obama aseguró que el país comunista había cometido un
error en cuanto al hackeo y le llamó crimen;así como también
afirmar que incluiría a Corea del Norte en la lista de países que
promueve el terrorismo.
 Tras estos conflictos de orden virtual, Pionyang amenazó de
“guerra” a Washington, pero por otro lado, aseguró querer
colaborar en esta investigación.