SONY buzz malgré lui

SONY buzz malgré lui

sony-hacked

 

 

 

 

 

 

 

 

Ces derniers jours une filiale de la société Sony (Sony Pictures Entertainment) fait le buzz (bad buzz) suite à une nouvelle intrusion d’un groupe de « hackers » qui se fait appeler « Guardians of Peace » [#GOP].

Les informations concernant cette brèche de sécurité sont floues mais ses premiers effets visibles ont été l’affichage au mois de novembre (24/11/2014) d’un texte sur les postes de travail des employés de la firme.

sony_hack-640x411

Cet acte de « deface » est en fait une demande de rançon contre la non divulgation des informations subtilisées par #GOP.

 

Plus récemment des sources font état d’un Malware qui aurait été à l’origine de l’intrusion.

Ce malware aurait été conçu par des coréens (ou des sympathisants), le créateur du malware a utilisé le pack de langue coréen de Microsoft.
Le mode opératoire du malware est le suivant :

  • infection du poste windows
  • déploiement à grande échelle dans le réseau (via Active Directory)
  • attente d’ordres via WMI
  • exécution des ordres reçus synchronisée (date/heure)
  • effacement complet du disque dur, après que le travail du malware soit terminé

 

La réponse de Sony Pictures fut prompte et a instauré un « lock down » pendant qu’ils traitent le problème :

  • Demande à tous les employés de déconnecter leur poste de travail du réseau local
  • Coupure des VPN
  • Demande de déconnexion des appareils personnels des employés
  • Coupure du WiFi sur les appareils mobiles des employés

 

Mais ces actions ont été vaines car le mal avait déjà été fait et les membres de #GOP sont, selon leurs dires, en possession d’environ 100To de données.

Un échantillon de 40Go de données a été mis en ligne via de nombreux moyens (direct download, torrents, …).

Nous sommes ici en présence d’un scénario de « ransomware » porté a son terme par #GOP et qui se transforme peu à peu en une opération de déstabilisation visant la société Sony.

 

Un mois après la première attaque, un second groupe de hackers [#Lizard Squad] a revendiqué les attaques sur le Playstation Network via les réseaux sociaux et notamment twitter.

Cette cyberattaque a eu pour effet visible la modification de plusieurs sites liés au Playstation Network.

playstation-network-hacked-message

Les utilisateurs obtenaient le message suivant lorsqu’ils visitaient un site touché : « Page Not Found! It’s not you, it’s the Internet’s fault ».

Ce qui a eu comme conséquence un déni de service sur le service de jeu en ligne de Sony et la coupure de l’accès à la base des Films de Sony.

 

Puis les scandales se sont enchainés suite à la diffusion des données par #GOP. On peut trouver parmi ces dernières :

  • Des films encore non diffusés par Sony Pictures
  • Des scripts de films à venir ou en cours de revue
  • Les salaires et n° de sécurité sociale de nombreux employés
  • Les alias et numéros de téléphones de célébrités
  • Les salaires de certains acteurs / actrices
  • Des contrats, des documents administratifs
  • Des échanges de mails (assez explosifs)
  • Des mots de passe (employés, services internes, twitter, …)
  • Des certificats racine ont été subtilisés (L’autorité de certification de Sony est compromise)

 

Un nouveau rebondissement à eu lieu lors de la réception d’un mail envoyé le 6 décembre par #GOP à de nombreux employés de Sony. Ce mail enjoint les employés à « renier la société Sony ou leur familles seront en danger ».

On a affaire cette fois ci à un scénario de « Social Engineering » auprès des employés dans le but d’accroitre l’opération de déstabilisation de Sony.

 

Un dernier rebondissement dans l’affaire est la découverte récente de malwares signés avec des certificats appartenant à Sony. Cette fois c’est la crédibilité de l’autorité de certification de Sony (PKI) qui est mise à mal.

Certaines informations laissent à penser que le groupe #GOP aurait bénéficié de complicités internes pour mener à bien l’exfiltration des données.

 

En réponse aux films qui ont fuité sur Internet, Sony tente de faire fermer les « sites de torrent » et met en place de « faux seed » et de « faux fichiers » massivement pour tenter de noyer le poisson.

NDR: A mon avis ce n’est pas la meilleure chose à faire à ce stade …

Sony a mandaté la société Mendiant pour investiguer sur les différentes attaques subies, mais les premières constatations de Mendiant restent vagues, appelant l’attaque un « crime sans précédent » commis par « un groupe organisé ».

De son coté, le FBI a démenti la rumeur selon laquelle la Corée du nord serait impliqué dans cette attaque (au vu des informations dont ils disposent actuellement).

 

Pour l’instant aucun chiffre n’a été émis par Sony concernant les pertes financières occasionnées par cette attaque. Mais une analyse indépendante trouvée sur Internet estime le préjudice à $100M.

On peut tout de même noter que les employés de Sony Pictures Entertainment ont été « bloqués » durant deux jours suite à l’application du « lock down ».

Il a fallu plus d’une semaine à Sony pour remettre en état de fonctionnement son Système Informatique suite à l’attaque du malware (suite à l’effacement du disque des postes infectés).

Quant au coup porté à l’image de la société Sony, il est pour le moment assez impressionnant.

 

Pour conclure, cette « petite intrusion » qui apparaissait au départ comme bénigne pour Sony, s’est avéré au fil du temps un véritable cauchemar.

 

PS : Un nouveau rebondissement fait état du fait que les tournages des films en cours de Sony ont été stoppés suite à la divulgation des données financières par #GOP.

PS2: La société Risk Based Security (RBS) a réalisé une analyse jour par jour de l’attaque sur Sony Pictures Entertainment.

 

Rédaction de l’article A.V.

 

Sources EN :

https://www.riskbasedsecurity.com/2014/12/a-breakdown-and-analysis-of-the-december-2014-sony-hack/

http://deadline.com/2014/11/sony-computers-hacked-skull-message-1201295288/

http://deadline.com/2014/12/sony-hacking-michael-lynton-all-hands-meeting-sony-1201315953/

http://deadline.com/2014/12/sony-hacking-scandal-issues-note-to-employees-1201312791/

http://deadline.com/2014/12/amy-pascal-breaks-silence-sony-hacking-1201321005/

http://variety.com/2014/biz/news/sony-targeted-by-apparent-hack-attack-to-corporate-systems-1201363734/

http://www.theregister.co.uk/2014/11/25/sony_pictures_in_it_lockdown_after_alleged_hacker_hosing/

http://recode.net/2014/12/02/details-emerge-on-malware-used-in-sony-hacking-attack/

http://bgr.com/2014/12/09/gop-hackers-vs-the-interview/

http://www.buzzfeed.com/matthewzeitlin/the-sony-hackers-are-now-threatening-employees-and-their-fam

http://bgr.com/2014/12/01/annie-fury-mr-turner-and-still-alice/

http://bgr.com/2014/12/05/sony-pictures-hack-passwords-and-ssns/

http://www.techworm.net/2014/12/north-korea-not-linked-sony-hack-attack-says-fbi.html

http://www.techworm.net/2014/12/destover-malware-signed-stolen-sony-pictures-certificate-detected-wild.html

http://www.darknet.org.uk/2014/12/sony-digital-certs-used-sign-malware/

http://thehackernews.com/2014/12/sony-pictures-scarier-hack-hackers-leak.html

http://www.techworm.net/2014/12/sony-hack-attack-hackers-demanded-ransom-sony-three-days-prior-attack.html

http://www.techworm.net/2014/12/sony-fightback-against-torrents-file-sharing-sites.html

http://recode.net/2014/12/10/sony-pictures-tries-to-disrupt-downloads-of-its-stolen-files/

http://recode.net/2014/12/10/cyber-attack-could-cost-sony-studio-as-much-as-100-million/

http://recode.net/2014/12/01/sony-hires-mandiant-after-cyber-attack-fbi-starts-probe/

http://movienewsguide.com/who-hacked-sonys-playstation-store-watch-video/39393

http://www.huffingtonpost.com/2014/12/02/sony-recover-hack_n_6258846.html

http://www.theverge.com/2014/11/24/7277451/sony-pictures-paralyzed-by-massive-security-compromise

http://www.theverge.com/2014/12/4/7337407/sony-pictures-hackers-stole-47000-social-security-numbers-including-stallone

http://www.theverge.com/2014/12/8/7352581/sony-pictures-hacked-storystream

http://www.theverge.com/2014/12/3/7328999/how-did-north-korea-take-control-of-a-hollywood-studios-servers/in/7116622

http://www.theverge.com/2014/11/25/7281097/sony-pictures-hackers-say-they-want-equality-worked-with-staff-to-break-in/in/7116622

http://thenextweb.com/insider/2014/11/24/sony-pictures-hacked-employee-computers-offline/

http://fusion.net/story/32623/sony-pictures-hack-exposes-hollywood-celebrities-secret-aliases/

http://arstechnica.com/security/2014/12/inside-the-wiper-malware-that-brought-sony-pictures-to-its-knees/

http://www.hollywoodreporter.com/news/sony-hack-10-new-developments-757219?Facebook_20141212

http://gizmodo.com/report-sony-pictures-stopped-shooting-because-it-cant-1670555148

 

Sources FR :

http://www.gizmodo.fr/2014/12/05/hack-sony-pictures-pire.html

http://www.journaldugeek.com/2014/12/10/sony-cross-over-men-in-black-21-jump-street/

http://www.20minutes.fr/high-tech/1431787-20140825-filiale-sony-visee-cyber-attaque-alors-dirigeant-menace

http://www.20minutes.fr/high-tech/1487443-20141125-sony-pictures-victime-piratage-massif-chantage

http://www.20minutes.fr/monde/1491871-20141201-cyberattaque-sony-pictures-evoque-piratage-informatique-coree-nord

http://www.20minutes.fr/web/1494339-20141204-sony-pictures-reconnait-vaste-vol-donnees-confidentielles

http://www.20minutes.fr/high-tech/1495023-20141204-piratage-sony-pictures-tourne-cauchemar

http://www.20minutes.fr/high-tech/1499683-20141211-sony-contre-hacktaque-bloquer-propagation-fichiers-voles