Onderzoekers hebben nieuwe tools binnen de Destover-malware gevonden die inzicht geven in hoe hackers een jaar geleden bij de servers van Sony Pictures wisten binnen te dringen. De twee tools zijn in staat om timestamps te vervalsen en logbestanden aan te passen.
Onderzoekers van het Amerikaanse cyberbeveiligingsbedrijf Damballa ontdekten de tools, genaamd setMFT en afset in een recent monster van de Destover-malware, dat gebruikt werd bij de Sony Pictures-hack. Volgens de onderzoekers waren de twee bestanden ten tijde van de hack ook gesignaleerd, maar niet verder in verband gebracht met Destover. De tools helpen bij het onopgemerkt blijven in het netwerk en verspreiding binnen datzelfde netwerk.
SetMFT is in staat om timestamps van bestanden te vervalsen om er zo voor te zorgen dat een nieuw geïntroduceerd bestand niet opvalt tussen de andere bestanden op de server. Op die manier zijn simpele bestandsscans en beveiligingspersoneel dat handmatige controles uitvoert, om de tuin te leiden. Een grondigere controle zou echter onthullen dat de timestamps van de bestanden niet overeenkomen met schrijfdata en log-bestanden. De tools maken gebruik van een driver die Destover zelf ook gebruikt.
De tweede tool, afset, is ook in staat om timestamps aan te passen en kan daarnaast ook Windows-logs schoonvegen op basis van criteria als id en time. Op die manier kunnen de schrijfoperaties van de malware-bestanden verhuld worden. Hoewel volgens Damballa met een volledige analyse van het systeem de aanwezigheid en sporen van afset en setMFT gevonden kunnen worden, bieden de tools een aanvaller wel meer dan genoeg tijd om zijn werk te doen.
Sony Pictures werd in november van 2014 gehackt door een groepering die zichzelf Guardians of Peace noemt. De aanvallers hadden e-mailadressen, wachtwoorden, documenten en financiële data bemachtigd. Ook hebben ze films van Sony Pictures bemachtigd en gepubliceerd. De e-mails en documenten werden eerder dit jaar via Wikileaks verspreid. In totaal ging het om de gegevens van 47.000 medewerkers van het bedrijf. Volgens de Amerikaanse regering zit Noord-Korea achter de hack.