※ [本文转录自 IA 看板 #1KiiXKNd ]
作者: hazel0093 (heart-work.info) 看板: IA
标题: [新闻] FBI断言北韩是元凶 资安专家提质疑反驳
时间: Mon Jan 12 03:00:33 2015
文/黄彦棻 | 2015-01-11发表
趋势科技全球核心技术部资深协理张裕敏表示,从美国FBI描绘的7大类恶意程式中,只有
找到会删除硬盘资料的Destover,这样的过程不合理。
美国FBI在一个月内,就将全球闹的沸沸扬扬的索尼影业(Sony Pictures)遭骇事件,调
查个水落石出。不过,面对FBI马上就认定是北韩政府所为,并且没有释出更多攻击细节
,也引发许多资安专家的质疑。
质疑1 找不到骇入索尼影业的恶意程式
包括趋势科技、赛门铁克、卡巴斯基实验室与Blue Coat等资安业者都分析了FBI提及的
Destover恶意程式,该恶意程式专门锁定索尼影业,且熟悉内部电脑网络架构。
索尼影业遭骇,第一时间员工电脑无法开机,硬盘资料被删除,不过,各家资安公司只有
找到会删除硬盘资料的Destover,要不到其他恶意程式的样本。趋势科技全球核心技术部
资深协理张裕敏表示,不论是轻量型的后门程式或者是Proxy代理程式,都是普遍使用的
攻击工具,没有道理找不到样本。他认为,这并不合理。
质疑2 内贼推论,FBI不接受
FBI在2014年12月30日公布索尼影业被骇初期,曾委由挪威网络安全公司Norse协助调查的
结果,发现入侵索尼影业的骇客,至少是6个人一组,其中有一位成员是具有相关IT技术
背景、任职超过10年的索尼影业前员工,十分了解公司网络架构和业务型态。
另外,Norse揭露,索尼影业外泄的机敏资料,其实是透过一个USB装置或者是USB外接硬
碟的方式外泄的,而非是透过网络外泄。这样的证据,也让内贼的可能性大增。但FBI对
于内贼的推论仍不愿意有任何评论。
质疑3 充满模仿外国人使用的烂英文语意
芬安全资安研究长Mikko Hypponen来台时也表示,芬兰政治上的中立,让该公司在做资安
事件调查,可不受其他因素影响。他当时来台时便说,根据芬安全资安团队检视疑似入侵
索尼影业的恶意程式样本发现,里面所使用的英文感觉像是不合逻辑的英文,但若从语意
分析,更像是美国人模仿外国人说的一口烂英文(Bad Engliash)。不过,Norse在分析
恶意程式过程中认为,恶意程式中有韩文发音的英文字母,但语言分析更像是俄罗斯骇客
所使用的语言。
质疑4 恶意程式中的韩文,非北韩所使用的当地方言
曾经在韩国工作5年的CloudFlare首席资安研究员Marc Rogers在部落格中发文表示,从恶
意程式中看不到常见“韩式英文”的英文用字,里面有一些IT专有名词的使用,也和韩国
IT人所使用的用法不同。他也说,由于北韩使用地方方言而非韩国使用的传统韩文作沟通
,但在该恶意程式的英文用法及韩文文字中,却看不出韩国和北韩用字上的差异。
质疑5 刻意忽略恶意程式内中日文字体
一名无法具名的资安专家提出质疑,检视骇入索尼影业的恶意程式样本,其内容有“马鹿
”的中文或日文字样就启人疑窦,但FBI不仅忽略,甚至立即锁定主谋是北韩政府,该名
资安专家认为,FBI刻意忽略该恶意程式中所出现的文字线索,让人怀疑。
质疑6 有类似的攻击手法,不表示同一个组织所为
资安公司卡巴斯基分析恶意程式时发现,这个恶意程式和造成2013年韩国320事件电视台
和银行网络中断的DarkSeoul(黑暗首尔)恶意程式手法类似,只不过,320事件发动的骇
客组织是Whois,而索尼影业遭骇则是来自#GoP。但类似手法可以模仿,不一定是同一个
组织所为。
http://www.ithome.com.tw/news/93460