扫码打开虎嗅APP
虎嗅注:半月前,《华尔街日报》曾报道朝鲜官方秘密组织了一支“黑客部队”,该部队规模在3000人左右、训练有素。韩国也一直声称,正是这支队伍,已经对首尔发动了数次网络攻击。如今,美国政府也站出来了,认定朝鲜政府是索尼影业影业被黑的幕后主使,还分析了相关攻击手法,并要求与朝鲜政府进行对质。
#索尼被黑难道真是《刺杀金正恩》惹的祸?#而这部电影在上周三(12月11日)已经宣布停播。索尼被黑的事件调查还真是停不下来。本文转自新浪科技,原文标题《美国认定朝鲜为索尼影业被黑案幕后黑手》
12月18日消息,美国情报官员认定,朝鲜政府“集中参与了”对索尼影业发起的黑客攻击。而在此之前,索尼周三刚刚取消了以刺杀朝鲜领导人金正恩为主线的喜剧电影《采访》(The Interview,又译作《刺杀金正恩》)的播放计划。
美国高级政府官员表示,白宫仍在就是否公开谴责朝鲜发动这一网络恐怖袭击展开辩论。由于黑客在最新发出的威胁中表示,将会在《采访》上映当天对影院发动袭击,迫使索尼取消了该片的上映计划。
政府官员称,目前还不清楚白宫将对朝鲜作何回应。奥巴马政府的部分幕僚认为,必须与金正恩政府直接对质,但美国政府同样可能因此面临一些威胁——比如,如何在不披露美国如何渗透朝鲜电脑网络,并追踪黑客踪迹的情况下,对外公布此事的证据。
还有人认为,就索尼被黑事件直接与朝鲜对质可能导致事态升级,令朝鲜获得其渴望已久的对质机会。作为索尼公司总部所在地,日本曾经表示,公开谴责朝鲜可能扰乱正在进行的微妙外交谈判——此次谈判的目的是让朝鲜交还数年前遭到绑架的日本公民。
由于黑客刚刚发布了新的威胁,导致此事的紧迫性进一步加剧。黑客在最新威胁中表示,在《采访》12月25日上映当天,“世界都将充满恐惧。”黑客接着说:“还记得2001年9月11日吗?我们建议你们届时远离那些地方(影院)。”
在美国四大院线——Regal Entertainment、AMC、Cinemark和Carmike Cinemas——及部分小型院线表示将不播放该片后,索尼取消了这部影片的上映计划。这一计划几乎扼杀了《采访》。
虽然美国情报官员认定索尼被黑事件是由国家资助的,而且破坏性远超美国本土之前遭遇的任何黑客攻击,但有关朝鲜是否获得了熟悉索尼电脑系统的内部人士的协助这一问题,目前仍然存在分歧。
“此次攻击与以往的攻击性质不同。”一位高级官员说。此次事件以删除企业电脑中的数据为开端——韩国和沙特阿拉伯之前也遭遇过类似的攻击,但美国却从未发生过这种攻击——现在已经演变成“对美国人的安全威胁”。然而,该官员也重复了美国国土安全部之前的声明称,目前没有明确可信的信息表明美国将遭遇任何袭击。
目前还不清楚美国通过何种手段确定朝鲜在此次事件中扮演了核心角色。朝鲜的电脑系统一向难以渗透。但4年前,美国国家安全局(NSA)对该国电脑系统发动了一次大规模的渗透活动,并且渗透了雷达系统等朝鲜网络,从而得以监控源自该国的恶意软件发展情况。
但这并非万全之策,因为朝鲜的很多黑客攻击都是从中国发动的。虽然索尼遭遇的攻击使用了一些常规的网络工具,但一位情报官员称:“如果是一年前,我们会认为这种攻击的复杂程度超出朝鲜的能力范围。”
美国很少公开谴责某个国家涉嫌参与网络攻击。虽然美国白宫和国务院的电脑也在过去两个月遭受网络攻击,摩根大通的系统同样在今年夏天遭到攻击,但美国政府从未公开披露幕后黑手。俄罗斯是前两起攻击的主要嫌疑人,但摩根大通被黑事件的证据还存在争议。
但此次攻击却留下了一些蛛丝马迹。攻击者使用了现成的商业工具删除了索尼电脑中的数据,他们还使用了至少与之前两次攻击相同的工具和技术:一次是沙特阿拉伯两年前遭遇的攻击,外界普遍将其归咎于伊朗;另外一次则是韩国去年遭受的攻击,银行和媒体公司成为了当时的主要目标。
黑客攻击索尼时使用全球各地的指挥中心进行路由,包括新加坡的一处会议中心和泰国国立法政大学的一台电脑。但作为其中一个指挥中心,玻利维亚的一台电脑两年前就曾应用于针对韩国目标发起的网络攻击。这虽然并非确凿证据,但仍可从一定程度上证明这两起攻击源自同一个组织或个人。
黑客攻击索尼时使用的恶意软件,也与韩国银行和广播公司去年被黑时的恶意软件有很多相似之处。这些攻击也破坏了受害者的数据,而业内普遍认为,当时的攻击是由一个名为“黑首尔”的犯罪团伙发动的。有些专家表示,不排除索尼被黑是山寨“黑首尔”所为。
索尼被黑事件中也使用与沙特阿美两年前遭受攻击时相同的数据擦除工具,黑客当时删除了沙特阿美3万台电脑中的数据,代之以一面燃烧的美国国旗图片。
安全专家一直未能追踪到沙特阿美被黑的幕后黑手,但美国官员很早就表示,他们认为那次攻击是由伊朗发起的,并且使用了一些目前可以从黑市获取的工具。
在任何一次攻击中,专家都无法证实攻击的最初入口。在索尼案中,调查人员希望了解黑客是否获得了内部人士的协助。这些恶意代码中嵌入了索尼服务器和管理证书的名字,使之可以在整个索尼网络中传播。
“他们很显然已经在攻击发起前访问过索尼网络。”AlienVault的安全研究员杰米·布拉斯科(Jaime Blasco)说。