美国知名IT安全网站“安全账目”(The Security Ledger)12月28日报道,在索尼哭喊自己因为新电影《采访》(又名《刺杀金正恩》)被朝鲜黑客攻击之后,美国媒体包括其总统奥巴马都一口咬定朝鲜是“肇事者”。然而越来越多浮出水面的证据却与美国当局的说法不同——并不是美国人眼里暴躁的朝鲜统治者金正恩主导了这一切,而是愤怒的前索尼影业员工,因为公司重组被解雇之后下了黑手。
网络安全公司Norse研究人员断言,他们对这起网络攻击的调查发现,朝鲜必然不是黑掉索尼公司的网络攻击源头。而索尼公司所说的6人黑客团体中,其中至少有1人曾是索尼影业负责技术岗位的员工,对索尼影业的网络和运行有着充分的了解。如果Norse的断言属实,那么美国政府等于被打脸,此前整个美国舆论都对着朝鲜政府开火,华盛顿和平壤之间嘴仗不断。
Norse公司表示,如此精确的袭击非索尼内部资深员工协助不能完成
Norse的副总裁库尔特·斯坦姆伯格(Kurt Stammberger)对媒体表示,Norse公司发现了有6人直接与对索尼公司的网络攻击有关,已知2人来自美国、1人来自加拿大、1人来自新加坡、1人来自泰国。其中有1人是在索尼公司工作10年的老员工,在5月的公司重组中被解雇。
斯坦姆伯格表示,Norse公司的9人研究团队发现,此次黑客攻击和对数据的盗取展现出黑客对索尼公司极为了解。Norse随后依据泄露的人力资源文档和雇员背景进行了分析。这些人力资源文档是此次分析的重头戏,其中有索尼2014年4月与5月间解雇员工的详细名单。Norse在被解雇人员名单中发现了一名具有深厚技术背景的人物,并在网络上对此人进行了追踪,发现她多次在社交媒体、网络聊天室和其他平台上表达对被解雇的愤怒。他们也截获了这名被索尼解雇的女性员工与欧洲和亚洲的黑客组织成员通信信息。
斯坦姆伯格表示,他们的研究后来进一步确认,有一名在其中一个服务器上直接与索尼前雇员网络聊天的人员,在2014年7月使用过攻击索尼公司的恶意软件。斯坦姆伯格谨慎地表示,他们的调查所得并非最终结果,可能会让已经混乱的局面更加糟糕,他们在29日将调查所得通报了联邦调查局(FBI)。
Norse是知名的网络安全公司
“他们(FBI)才是真正的调查人员,”斯坦姆伯格表示,“我们会向他们展示我们所找到的数据和发现。能否成为呈堂证供并非我们的职业所能决定的,将由FBI来决定这些发现是否有法律效力。”
目前来看,Norse公司的调查发现至少证明,美国政府对此次黑客攻击的官方描述并不是最有说服力的,网络安全圈子与主流媒体间流传各种说法间的矛盾总会见分晓。然而距离美国当局直接指责朝鲜政府发起此次黑客攻击已有10天。
黑客攻击外泄的诸多资料可以为各种说法提供支持。此前的报告曾经宣称,此次攻击使用的恶意软件是用朝鲜语编写的,并且与攻击沙特的沙特阿美石油公司的恶意软件相似。而此前公布的每一个指向朝鲜的线索,都能指向另外的方向。比如原本数据传输的时间被用作指证朝鲜发起攻击的证据,而这些数据传输的时间点也可能是发生在索尼公司内部网络的数据传输时间,比如使用了一个U盘或移动硬盘。
而其他分析则从“和平卫士”黑客组织的给出声明电子邮件,邮件中的文字与日本动漫与美国电视剧有关,而对“和平卫士”内部交流语言的分析证明,这些黑客使用的是俄语而非英语。
前联邦检察官和一家科技与网络法律研究所所长马克·拉什(Mark Rasch)表示,Norse的调查解答了一些之前令人困扰的问题,比如黑客为何对索尼影业内部网络有着近乎完美的了解,并且在索尼影业毫无察觉的情况下盗取了巨量的数据。拉什还表示,之前朝鲜政府一直非常可疑,并非不可能是朝鲜政府,但是非常可疑——而如果这名索尼影业的内鬼假装是朝鲜政府的话,那就一切解释的通了。
和许多人一样,拉什也指出,黑客最初向索尼影业和外接提出要求时,并未提及《采访》这部电影。而黑客非常清楚泄露哪些索尼影业的内部文件能在好莱坞制造出极大影响,表明黑客非常了解好莱坞的运作,他们泄露的资料是非常私人且非常令索尼高官尴尬的。
斯坦姆伯格表示,内部人员的参与能解释为什么黑客如此了解索尼公司网络内部的关键信息,比如重要服务器的IP地址和需要登陆到这些服务器的凭证。即使在高水平的网络攻击中,远程攻击者需要用很多天、好几周甚至好几个月来刺探网络中信息,让他们获取其中控制权,而使用攻陷的员工账号,在盗取数据、制造破坏前搜索敏感信息很容易被发现。在对索尼的网络攻击中,黑客没有经过这种刺探的过程,像是早就知道哪些关键数据存储在哪里。
但目前还有许多问题并不明朗,Norse提供的分析中还有许多空白。斯坦姆伯格表示,有5到6名前索尼影业员工可能与此次网络攻击有关,被发现的这个人是直接与网络攻击有联系的。那名前索尼员工加入到了外部有经验的黑客组织中,例如提供好莱坞电影下载的海盗湾组织等。斯坦姆伯格表示,Norse发现的证据表明,前索尼员工与在外的黑客组织勾结进行了此次网络攻击。
加拿大华人网 http://www.sinoca.com/