趨勢科技全球核心技術部資深協理張裕敏表示,從美國FBI描繪的7大類惡意程式中,只有找到會刪除硬碟資料的Destover,這樣的過程不合理。

圖片來源: 

iThome

美國FBI在一個月內,就將全球鬧的沸沸揚揚的索尼影業(Sony Pictures)遭駭事件,調查個水落石出。不過,面對FBI馬上就認定是北韓政府所為,並且沒有釋出更多攻擊細節,也引發許多資安專家的質疑。

質疑1 找不到駭入索尼影業的惡意程式

包括趨勢科技、賽門鐵克、卡巴斯基實驗室與Blue Coat等資安業者都分析了FBI提及的Destover惡意程式,該惡意程式專門鎖定索尼影業,且熟悉內部電腦網路架構。

索尼影業遭駭,第一時間員工電腦無法開機,硬碟資料被刪除,不過,各家資安公司只有找到會刪除硬碟資料的Destover,要不到其他惡意程式的樣本。趨勢科技全球核心技術部資深協理張裕敏表示,不論是輕量型的後門程式或者是Proxy代理程式,都是普遍使用的攻擊工具,沒有道理找不到樣本。他認為,這並不合理。

質疑2 內賊推論,FBI不接受

FBI在2014年12月30日公布索尼影業被駭初期,曾委由挪威網路安全公司Norse協助調查的結果,發現入侵索尼影業的駭客,至少是6個人一組,其中有一位成員是具有相關IT技術背景、任職超過10年的索尼影業前員工,十分了解公司網路架構和業務型態。

另外,Norse揭露,索尼影業外洩的機敏資料,其實是透過一個USB裝置或者是USB外接硬碟的方式外洩的,而非是透過網路外洩。這樣的證據,也讓內賊的可能性大增。但FBI對於內賊的推論仍不願意有任何評論。

質疑3 充滿模仿外國人使用的爛英文語意

芬安全資安研究長Mikko Hypponen來臺時也表示,芬蘭政治上的中立,讓該公司在做資安事件調查,可不受其他因素影響。他當時來臺時便說,根據芬安全資安團隊檢視疑似入侵索尼影業的惡意程式樣本發現,裡面所使用的英文感覺像是不合邏輯的英文,但若從語意分析,更像是美國人模仿外國人說的一口爛英文(Bad Engliash)。不過,Norse在分析惡意程式過程中認為,惡意程式中有韓文發音的英文字母,但語言分析更像是俄羅斯駭客所使用的語言。

質疑4 惡意程式中的韓文,非北韓所使用的當地方言

曾經在韓國工作5年的CloudFlare首席資安研究員Marc Rogers在部落格中發文表示,從惡意程式中看不到常見「韓式英文」的英文用字,裡面有一些IT專有名詞的使用,也和南韓IT人所使用的用法不同。他也說,由於北韓使用地方方言而非南韓使用的傳統韓文作溝通,但在該惡意程式的英文用法及韓文文字中,卻看不出南韓和北韓用字上的差異。

質疑5 刻意忽略惡意程式內中日文字體

一名無法具名的資安專家提出質疑,檢視駭入索尼影業的惡意程式樣本,其內容有「馬鹿」的中文或日文字樣就啟人疑竇,但FBI不僅忽略,甚至立即鎖定主謀是北韓政府,該名資安專家認為,FBI刻意忽略該惡意程式中所出現的文字線索,讓人懷疑。

質疑6 有類似的攻擊手法,不表示同一個組織所為

資安公司卡巴斯基分析惡意程式時發現,這個惡意程式和造成2013年韓國320事件電視臺和銀行網路中斷的DarkSeoul(黑暗首爾)惡意程式手法類似,只不過,320事件發動的駭客組織是Whois,而索尼影業遭駭則是來自#GoP。但類似手法可以模仿,不一定是同一個組織所為。

 


相關報導請參考「駭客出任務,索尼影業駭翻天」


Advertisement

更多 iThome相關內容