القصة الكاملة حول أختراق شركة سوني

أغلبنا سمع وشاهد عدة تقارير على شاشة التلفاز حول عملية الأختراق الآخيرة التى حدثت لشركة سوني والتى يعتقد بأن من قام بها هم قراصنة من كوريا الشمالية كون
التهديدات التى وصلت بعد الاختراق كما سوف نرى لاحقا تطلب وبين قوسين (تأمر) الشركة بإيقاف عرض فلم The Interview الذي يستهزئ بالرئيس الكوري الشمالي وما سمعناه من تقارير وأخبار يمثل واحد بالمئة من العملية الكاملة التى لم يعرف بعد ما أبعادها كاملةً لنسمع القصة كاملة.

قبل الخوض في الآلية التى تم الأختراق من خلال لها لنتعرف أولا على حجم الأضرار العامة التى تسبب بها القراصنة نتيجة هذه العملية المؤلمة على أن نفصل فيما بعد اكثر فيما تم تسريبه من الشركة والذي بجد يعتبر مصيبة في حق الشركة.

• أكبر عملية قرصنة حدثت ربما في السنوات العشرة الآخيرة.
• 77 مليون أيميل أنسرق.
• 25 مليون حساب لمستخدمي سوني اتهكر.
• 10700 لبطاقات الخصم .
• 12700 بطاقة أئتمان.
• مراسلات سرية بين الموظفين تظهر عنصرية البعض.
• سيناريوهات لأفلام سوف تصور قريبا ومن بينها فلم جيمس بوند.
• خمس أفلام كان من المفترض أن يبدأ عرضها تسربت مثل :
• Annie, Mr Turner, To Write Love On Her Arms

• أنخفاض أسهم بورصة سوني بنسبة 6,6 بالمئة.
• خسائر مبدئية تقدر بي 100 مليون دولار.
• و آخيراً سوني تعلن إيقاف عرض الفلم أو تأجيله…

في الثالث والعشرين من نوفمبر ظهرت صورة على أجهزة العاملين في شركة سوني تخبرهم بعملية الأختراق وتتوعدهم بنشر الكثير من المفأجاة في الـ24 من نوفمبر.

في أول تسريب قام به المخترقون الذين أطلقوا على أنفسهم أسم Guardians Of Peace أو فرسان السلام في واحد ديسمبر/كانون الأول, تم نشر 26 غيغا من البيانات وكانت على النحو الآتي 

• 26.4 GB in size, containing 33,880 files and 4,864 folders.
• Includes 47,426 unique Social Security Numbers (SSN)
• 15,232 SSN belonged to current or former Sony employees
• 3,253 SSN appeared more than 100 times
• 18 files contained between 10,860 and 22,533 SSN each.

أمثلة على محتويات الملفات المسربة من ملف خاص بقسم الـ HR كان يحتوي على 402 موظف مع أرقام الضمان الاجتماعي وعناوين البريد الإلكتروني الداخلية، وكلمات السر الغير مشفرة.

بالأضافة إلى 3000 أسم مع تفاصيل الاتصال، وأرقام الهاتف، وتواريخ الميلاد، وعناوين البريد الإلكتروني، واستحقاقات العمل والعمال تفاصيل التعويض، وخطط التقاعد وإنهاء الخدمة والموظفين السابقين, تاريخ العمل والمرتبات التنفيذية والخطط الطبية وخطط طب الأسنان والأجناس، تعريفات الموظفين، وتقارير المبيعات، ونسخ من معلومات جواز السفر وإيصالات السفر، فضلا عن تفاصيل الأموال المدفوعة لشراء تذاكر السينما لبيعها إلى موظفي سوني. والكثير من الوثائق وأيصالات الدفع الخاصة بالزبائن

Example of employee data found:

• One file (\HR\Benefits\Mayo Health\Mayo XEROX assessment feed) contains 402 full Social Security numbers, internal emails, plaintext passwords,  and employee names
• An additional 3000 or more Social Security numbers, names, contact details, contact phone numbers, dates of birth, email addresses, employment benefits, workers compensation details, retirement and termination plans, employees previous work history, executive salaries, medical plans, dental plans, genders, employee IDs, sales reports, copies of passport information and receipts for travel, as well as money order details to purchase movie tickets to resell back to the Sony staff. The leaked information also included documents, payment, and account information to order custom jewelry from Tiffany & CO via email

أما التسريب الثاني في 3 ديسمبر/كانون الأول فكان في 33 ميغا فقط ولا تستهن بها ابداً فهي الأخطر كون أغلب محتوياتها كانت معلومات دخول مع كلمات السر لكل شيئ يخص سوني بما فيها السيرفرات والشهادات الأمنية وكلمات السر الخاصة بالـ FTP وحسابات اليوتيوب والفايسبوك وتويتر الخاصة بالشركة وكانت بأسم 

Bonus.rar 

• List of security certificates for servers, users, and services, and a list of what each certificate is related
• Contains plaintext credentials (~ 500 total), server information, internal IP addresses and other data.
• to.
• Credentials include YouTube login information for the SonyPictures, Spidermanmovie, EvilDeadMoive, GrownupsTheMovie, and Thisistheend movie channels, complete list of older social media accounts for campaigns on facebook and twitter.
• 121 FTP plaintext credentials, including the main Sony Pictures FTP server.
• Plain text Credentials for major news and media sites like NY times, LA Times, Daily Variety, hollywoodreporter.com, indiewire.com.
• Plain text passwords in formats like “sony12345” for critical internal and forward facing services.
• Username passwords combos in a file named My PAsswords contain: novell, mediataxi, inflight, fidelity, spiDR, SPIRIT, sony style family center, FEDEX, Connect, SPTI, Acron TASS, SPE Courier, Concur, SPC Press, AIM, HR Connect, AMEX, outlook all in clear text with username and password combos.
• Accounting and payment information for AMEX for “The Interview” in plain text.
• Accounting and payment and other related credentials for “Death at a Funeral”

List.rar file summary:

• 1.8MB compressed
• Three files containing internal and external PC data, Linux servers, and Windows servers.

 

وفي الرابع من ديسمبر تم نشر هذه الصورة المأخوذة من سيرفر الشركة لملف أطلق عليه Password وفيه كل المصائب التى تم نشرها في اليوم السابق.

في الخامس من ديسمبر أرسل المخترقون رسالة إلى الشركة وأخبروهم بأنهم سوف ينشروا ملف تورنت لملفات حجمها 100 غيغا بالأضافة إلى دعوة عامة للأنضمام إليهم

الحديث عن آلية الاختراق التى حدثت فالتقارير كثيرة ومتضاربة لكن أهمها كان التقرير الذي نشره موقع US-cert الأمريكي والذي لم يذكر فيه أسم شركة سوني بالحرف وأكتفى بالقول major entertainment company تم من خلال دودة أطلق عليها SMB Worm Tool أستهدفت أنظمة مايكروسوفت وتحديداً  الـ SMB أو Server Message Block المسؤول عن عملية مشاركة الملفات على الشبكة.

SMB Worm Tool: تعتمد هذه الدودة على الـ brute force authentication attack وهذا النوع من الهجوم معروف للخبراء الأمنيين على أنه هجوم يقوم بتجربة كل الأحتمالات الممكنة لمعرفة كلمة السر مثل أن يبدأ تجربة كلمات سر معروفة Password, admin123, 123456 الخ… أو يبدا التجربة أنطلاقا من الصفر إلى أن يصل لكلمة السر المطلوبة للولوج إلى الجهاز وبالتالي السيطرة عليه, آلية السيطرة على الجهاز تتطلب معرفة أسم المستخدم وكلمة السر كما تحدثنا مسبقاً يليها أنشاء ملف مشاركة يحوي الـ CMD مع أعطاءه صلاحيات كاملة create a new share “cmd.exe /q /c net share shared$=%SystemRoot% /GRANT:everyone, FULL” ليلها مباشرة رفع أدوات التحكم بالجهاز والسيطرة عليه وبعدها يتم حذف الملف المشير CMD حتى لايشعر أي أحد بشيئ.

عندما نقول أن الأختراق تم بالأعتماد على الـ Brute Force Attack فهذا يبرئ الأنظمة والحمايات وربما يجرم المشرفين على النظام فهجوم مثل هذا لا حماية حقيقة منه إلا كلمة سر معقدة وطويلة ونستنتج أن المدة الفعلية لعملية الأختراق ربما تكون طويلة, فالأختراق إذا حدث فمن المؤكد انهم لم يصلوا للسيرفرات بشكل مباشر بل وصلوا أولا لأحد الأجهزة المربوطة على الشبكة ومن خلاله نجحوا في الوصول إلى السيرفرات العامة والسرية والدليل على هذا الكلام أن US-Cert لم تتحدث عن أي تحديث أو سد ثغرات معينة أو حتى أيقاف لأي خدمة كل ماطلبته هو أبقاء الانظمة (مايكروسوفت) والبرامج محدثة والحرص على توفير مضاد فايروسات جيد للأجهزة بالأضافة إلى أختيار كلمات سر معقدة.

الدودة بحسب US-Cert محملة بي خمس أدوات أضافية وهي : Listening Implant, Lightweight Backdoor, Proxy Tool, Destructive Hard Drive Tool, and Destructive Target Cleaning Tool.

ومن محتوياته نجد أنها قادرة على فتح أتصال وتأمين مدخل للمخترقين فبمجرد ما أن تدخل الجهاز حتى تبدأ الأنتشار وتثبيت نفسها وتفتح منافذ لهم وما أستغربته أيضاً قدرته على الوصول إلى الروترات وعمل port mappings لو في حال كانت الشبكة تعمل من خلال NAT, ونجد من بين الأداوت الـ Proxy tools التى تؤمن نقل الملفات وتنفيذ الأوامر ومراقبة الجهاز والعمليات اتلى تحدث عليه كما نجد أيضا أداة مخصصة لتدمير الهاردات ومسح محتوياته بلا رجعة واداة لمسح وتنظيف كل ما يمكن تسجيله ومراقبته logs Message.

الحقيقة وجدت نفسي تائه وأنا اقرا في آلية الأختراق فالدودة معقدة جداً وتم تطويرها بدقة عالية لكي تنفذ مخطط كامل يبدأ بأشياء بسيطة وينتهي بأمور معقدة وطبعا بدوري أحي العقول التى تفكر وتبتكر وأن كان الأمر تخريبي ودمر شركة عريقة مثل سوني إلا أن الأمر جيد لكي يعتبر الجميع فشركة مثل jpmorgan أحد أكبر البنوك في أمريكا والتى تنفق 250 مليون دولار على الامن والحماية تم أختراقها ايضاً من عدة أشهر وسرقة ملايين الملفات منها وهذه قصة آخرى قد نتحدث عنها في المستقبل