Onderzoek van Juan Andrés Guerrero-Saade, een werknemer bij Kaspersky, heeft een mogelijk verband blootgelegd tussen de Sony-hack van december 2014 en andere aanvallen op een Zuid-Koreaanse kerncentrale en op Samsung, dat ook in dat land gevestigd is.
Het nieuws blijkt uit een uitgebreid verslag van de Kaspersky Security Analyst Summit van 7 februari, geschreven door Wired. Volgens Guerrero-Saade zijn er bij de aanvallen op de Zuid-Koreaanse kerncentrale en Samsung in respectievelijk december 2014 en oktober 2015 sporen ontdekt die overeenkomsten tonen met de sporen die gevonden zijn bij Sony nadat dat gehackt was. De onderzoeker spreekt ervan dat de hackers dezelfde code, wachtwoorden, user agent list en zelfs dezelfde typefouten vertoonden. Ook is hun code in het Koreaans.
De onderzoekers wisten met hun zoekwerk meerdere malware-families in kaart te brengen, maar hadden daarmee geen verband met de Sony-hackers gevonden. Pas op het moment dat Kaspersky ontdekte dat exact dezelfde dropper gebruikt werd voor verschillende malware-families, konden ze verbanden gaan leggen tussen de aanvallen op onder andere Sony, Samsung en de Zuid-Koreaanse kerncentrale. De gemeenschappelijke dropper bleek namelijk in alle gevallen beveiligd te zijn met hetzelfde wachtwoord.
Naast de gemeenschappelijke dropper blijken de hackers ook meermaals dezelfde technieken te gebruiken om hun sporen achter zich uit te wissen. Zo gebruiken de hackers een .bat-bestand dat alle bestanden die bij de hack gebruikt worden, uitwist. Daaropvolgend verwijdert dit bestand ook zichzelf om het uitwissen van de sporen af te ronden. Hoewel de bestanden zelf wellicht definitief weg zijn, blijft het bewijs van het bestaan van het .bat-bestand genoteerd in de logboeken van de geïnfecteerde machines. Hier konden de onderzoekers zich ook op richten.
Guerrero-Saade overweegt een paper te publiceren met zijn bevindingen over het onderwerp, maar zegt terughoudend te zijn omdat hij niet te veel over zijn ontwikkelde methodes wil prijsgeven. Hoe meer de hackers weten van de kennis van Kaspersky, hoe meer ze zich geroepen zullen voelen om hun methodes te veranderen. Guerrero-Saade noemt de hackers 'The Interviewers', wat een verwijzing is naar de door Sony uitgegeven film The Interview, die zich in Noord-Korea afspeelt. Desalniettemin weigert de onderzoeker om definitief Noord-Korea als verantwoordelijke aan te wijzen, ook al is Noord-Korea de grootste vijand van Zuid-Korea. Op dit moment houdt hij zich alleen bezig met het onderzoeken van de methodiek van de hackers en niet wie ze zijn en waar ze vandaan komen. Hij sluit niet uit dat verder onderzoek verbanden zal onthullen met hacks die niet gericht zijn op Zuid-Korea. De Amerikaanse FBI was bijna direct al overtuigd van de betrokkenheid van Noord-Korea bij de Sony-hack.
:strip_exif()/i/1271168008.jpeg?f=fpa)
:strip_exif()/i/1371482326.jpeg?f=fpa)
/i/1354102800.png?f=fpa)
:strip_exif()/i/1303128799.gif?f=fpa)
:strip_exif()/i/1295609966.gif?f=fpa)
:strip_exif()/i/1298367529.gif?f=fpa)
/i/1286721156.png?f=fpa)
/i/1289644242.png?f=fpa)
/u/70125/headshot%2520small.png?f=community){kind=small}
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/531/crop5bc26deb6d424_cropped.jpeg?f=community){kind=small}
/u/416523/fotos_in_de_cloud_android.png?f=community){kind=small}
:strip_icc():strip_exif()/u/53780/rsz_o-giant-rubber-duck-570.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/277895/crop5eda5f3273e75_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community){kind=small}
/u/271599/crop5f22c24dca6ba.png?f=community){kind=small}
/u/113545/no_wai.png?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/363743/crop61aa1329d36b8_cropped.png?f=community){kind=small}