Fw: [新聞] FBI斷言北韓是元兇 資安專家提質疑反駁
※ [本文轉錄自 IA 看板 #1KiiXKNd ]
作者: hazel0093 (heart-work.info) 看板: IA
標題: [新聞] FBI斷言北韓是元兇 資安專家提質疑反駁
時間: Mon Jan 12 03:00:33 2015
文/黃彥棻 | 2015-01-11發表
趨勢科技全球核心技術部資深協理張裕敏表示,從美國FBI描繪的7大類惡意程式中,只有
找到會刪除硬碟資料的Destover,這樣的過程不合理。
美國FBI在一個月內,就將全球鬧的沸沸揚揚的索尼影業(Sony Pictures)遭駭事件,調
查個水落石出。不過,面對FBI馬上就認定是北韓政府所為,並且沒有釋出更多攻擊細節
,也引發許多資安專家的質疑。
質疑1 找不到駭入索尼影業的惡意程式
包括趨勢科技、賽門鐵克、卡巴斯基實驗室與Blue Coat等資安業者都分析了FBI提及的
Destover惡意程式,該惡意程式專門鎖定索尼影業,且熟悉內部電腦網路架構。
索尼影業遭駭,第一時間員工電腦無法開機,硬碟資料被刪除,不過,各家資安公司只有
找到會刪除硬碟資料的Destover,要不到其他惡意程式的樣本。趨勢科技全球核心技術部
資深協理張裕敏表示,不論是輕量型的後門程式或者是Proxy代理程式,都是普遍使用的
攻擊工具,沒有道理找不到樣本。他認為,這並不合理。
質疑2 內賊推論,FBI不接受
FBI在2014年12月30日公布索尼影業被駭初期,曾委由挪威網路安全公司Norse協助調查的
結果,發現入侵索尼影業的駭客,至少是6個人一組,其中有一位成員是具有相關IT技術
背景、任職超過10年的索尼影業前員工,十分了解公司網路架構和業務型態。
另外,Norse揭露,索尼影業外洩的機敏資料,其實是透過一個USB裝置或者是USB外接硬
碟的方式外洩的,而非是透過網路外洩。這樣的證據,也讓內賊的可能性大增。但FBI對
於內賊的推論仍不願意有任何評論。
質疑3 充滿模仿外國人使用的爛英文語意
芬安全資安研究長Mikko Hypponen來臺時也表示,芬蘭政治上的中立,讓該公司在做資安
事件調查,可不受其他因素影響。他當時來臺時便說,根據芬安全資安團隊檢視疑似入侵
索尼影業的惡意程式樣本發現,裡面所使用的英文感覺像是不合邏輯的英文,但若從語意
分析,更像是美國人模仿外國人說的一口爛英文(Bad Engliash)。不過,Norse在分析
惡意程式過程中認為,惡意程式中有韓文發音的英文字母,但語言分析更像是俄羅斯駭客
所使用的語言。
質疑4 惡意程式中的韓文,非北韓所使用的當地方言
曾經在韓國工作5年的CloudFlare首席資安研究員Marc Rogers在部落格中發文表示,從惡
意程式中看不到常見「韓式英文」的英文用字,裡面有一些IT專有名詞的使用,也和南韓
IT人所使用的用法不同。他也說,由於北韓使用地方方言而非南韓使用的傳統韓文作溝通
,但在該惡意程式的英文用法及韓文文字中,卻看不出南韓和北韓用字上的差異。
質疑5 刻意忽略惡意程式內中日文字體
一名無法具名的資安專家提出質疑,檢視駭入索尼影業的惡意程式樣本,其內容有「馬鹿
」的中文或日文字樣就啟人疑竇,但FBI不僅忽略,甚至立即鎖定主謀是北韓政府,該名
資安專家認為,FBI刻意忽略該惡意程式中所出現的文字線索,讓人懷疑。
質疑6 有類似的攻擊手法,不表示同一個組織所為
資安公司卡巴斯基分析惡意程式時發現,這個惡意程式和造成2013年韓國320事件電視臺
和銀行網路中斷的DarkSeoul(黑暗首爾)惡意程式手法類似,只不過,320事件發動的駭
客組織是Whois,而索尼影業遭駭則是來自#GoP。但類似手法可以模仿,不一定是同一個
組織所為。
http://www.ithome.com.tw/news/93460
--
Believe, believe, there's magic here tonight...
Believe, believe!
--
※ 文章網址: https://www.ptt.cc/bbs/IA/M.1421002836.A.5E7.html
※ 編輯: hazel0093 (140.119.136.101), 01/12/2015 03:02:54
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: hazel0093 (140.119.136.101), 01/12/2015 03:03:27
→
01/12 15:30, , 1F
01/12 15:30, 1F
→
01/14 17:59, , 2F
01/14 17:59, 2F
→
01/14 18:22, , 3F
01/14 18:22, 3F