[ad_1]

La récente effraction d’un pirate informatique à Sony Pictures Divertissement semble avoir impliqué le vol de bien plus que des films inédits : selon plusieurs sources, les intrus ont également volé plus de 25 gigaoctets de données sensibles sur des dizaines de milliers d’employés de Sony, y compris des numéros de sécurité sociale, des informations médicales et salariales. De plus, il semble que les attaquants aient détruit des données sur un nombre inconnu de systèmes Sony internes.

Capture d'écran d'un rapport d'audit interne prétendument volé à Sony.

Capture d’écran d’un rapport d’audit interne prétendument volé à Sony et circulant sur les réseaux d’échange de fichiers.

Plusieurs fichiers échangés sur des réseaux torrent vus par cet auteur incluent une liste mondiale d’employés Sony, un fichier Microsoft Excel qui comprend le nom, l’emplacement, l’identifiant de l’employé, le nom d’utilisateur du réseau, le salaire de base et la date de naissance de plus de 6 800 personnes.

Les responsables de Sony n’ont pas pu être immédiatement contactés pour commenter; une hotline de presse de l’entreprise a sonné pendant plusieurs minutes sans réponse, et les demandes par e-mail adressées à l’entreprise sont restées sans réponse. Mais une recherche approfondie sur LinkedIn car des dizaines de noms dans la liste indiquent que pratiquement tous correspondent à des employés actuels ou anciens de Sony.

Un autre fichier échangé en ligne semble être un rapport d’état d’avril 2014 répertoriant les noms, dates de naissance, numéros de sécurité sociale et données de compte d’épargne santé de plus de 700 employés de Sony. Pourtant, le nom d’un autre fichier apparemment volé suggère qu’il s’agissait du produit d’un audit interne d’un cabinet comptable PricewaterhouseCooperset comprend des captures d’écran de dizaines de dossiers fiscaux fédéraux d’employés et d’autres données sur la rémunération.

Les dernières révélations surviennent plus d’une semaine après qu’une cyberattaque contre Sony Pictures Entertainment a fait tomber les systèmes de messagerie d’entreprise de l’entreprise. Un porte-parole de Sony a déclaré à Reuters que l’entreprise a depuis « rétabli un certain nombre de services importants » et « travaillait en étroite collaboration avec les forces de l’ordre pour enquêter sur l’affaire ».

Certains des fichiers apparemment pris à Sony sont désormais échangés sur des réseaux de partage de fichiers.

Certains des fichiers apparemment pris à Sony sont désormais échangés sur des réseaux de partage de fichiers.

Plusieurs médias ont rapporté à l’époque que des employés de Sony avaient été averti de ne pas se connecter au réseau d’entreprise de l’entreprise ni de consulter ses e-mails, et a noté que les services informatiques de Sony avaient demandé aux employés d’éteindre leurs ordinateurs et de désactiver le Wi-Fi sur tous les appareils mobiles. D’autres rapports ont cité des enquêteurs anonymes désignant des pirates nord-coréens comme la source de l’attaque, bien que ces rapports n’aient pas pu être confirmés de manière indépendante.

Des précautions aussi extrêmes auraient du sens si le réseau de l’entreprise était confronté à une cybermenace visant à détruire méthodiquement des fichiers sur les ordinateurs de l’entreprise. En effet, le FBI a publié cette semaine un avertissement restreint « Flash Alert » d’une telle menace, à propos d’un groupe d’attaque sans nom qui a utilisé des logiciels malveillants conçus pour effacer les disques durs des ordinateurs – et le sous-jacent « enregistrement de démarrage principal” (MBR) sur les systèmes concernés — de toutes les données.

BreachTrace a obtenu une copie de l’alerte, qui comprend plusieurs noms de fichiers et hachages (longues chaînes de lettres et de chiffres qui identifient de manière unique les fichiers) correspondant au logiciel malveillant d’effacement de fichiers. Le FBI ne précise pas où le logiciel malveillant a été trouvé ni contre qui il aurait pu être utilisé, notant seulement que « le FBI a une grande confiance dans le fait que ces indicateurs sont utilisés par le CNE ». [computer network exploitation] opérateurs pour une exploitation ultérieure du réseau. Le rapport indique également que le pack de langue référencé par les fichiers malveillants est le coréen.

L’alerte du FBI fait référence à plusieurs «signatures» de trafic réseau que les organisations peuvent utiliser pour détecter le trafic observé lors d’attaques précédentes de ce malware – trafic qui semble renvoyer vers des systèmes (très probablement compromis) en Thaïlande, en Pologne et en Italie. Mais l’alerte indique également que ce type de vigilance ne peut servir qu’à faire savoir aux organisations que leurs fichiers sont actuellement en cours de suppression.

« Ce qui suit Renifler La signature peut être utilisée pour détecter le trafic des balises, bien qu’au moment où les balises se produisent, le processus destructeur d’effacement des fichiers a commencé », a averti l’alerte.

Voici la signature Snort, au cas où cela serait utile pour les lecteurs qui n’ont pas reçu ce mémo :

Alerter tcp tout tout -> [88.53.215.64, 217.96.33.164, 203.131.222.102] [8080, 8000] (message : « wiper_callout » ;
taille:42 ; contenu : « |ff ff ff ff| » ; décalage : 26 ; profondeur : 4 ; sid : 314 ;

Mise à jour : 13 h 58 HE : Plusieurs sources rapportent que les liens vers les torrents pour les données internes volées de Sony ont été publiés sur Pastebin tard lundi matin. Moins d’une heure après la mise en ligne de ce message, les hôtes individuels qui partageaient des copies des données Sony ont subi des attaques par déni de service soutenues visant apparemment à empêcher le partage des fichiers avec d’autres utilisateurs de torrent.

De plus, les gars de la sécurité chez Packetninjas ont posté une rédaction utile sur un échantillon de logiciel malveillant qu’ils ont repéré début juillet 2014 et qui correspond au nom de fichier du logiciel malveillant décrit dans l’alerte Flash du FBI concernant le logiciel malveillant d’effacement de fichiers. Packetninjas note que le fichier appelait également le même serveur de contrôle en Thaïlande que celui documenté dans l’alerte du FBI de cette semaine.

Cette arborescence de répertoires de fichiers, incluse dans les données divulguées, offre un aperçu du volume considérable de fichiers apparemment compromis dans cette brèche.

Ceci est une histoire en développement. Plus à venir. Restez à l’écoute.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *