Attacco a Sony

(1)

Attacco a Sony

Bulfon Ilaria

Soldan Elena

(2)

Cosa è successo?

Il 24 novembre 2014 un gruppo di hacker ha forzato le protezioni informatiche di Sony

Pictures Entertainment

(3)

Chi si nasconde dietro i Guardians Of Peace (GOP)?

Ipotesi:



Corea del Nord



Ex dipendente



Cyberterroristi



Organizzazione di hacker

(4)

Ipotesi: Corea del Nord



Inizialmente il governo

americano pensava che questo attacco fosse stato condotto per fermare l’uscita di “The Interview”, il film satira sul leader nordcoreano Kim Jong- un



Gli hacker hanno minacciato attacchi contro i cinema che lo avessero proiettato

costringendo inizialmente la Sony Pictures a bloccarne l’uscita, per renderlo poi

disponibile in 300 sale e online

a Natale

(5)

Ipotesi: ex-dipendente



Secondo un'inchiesta della società di sicurezza cibernetica

Norse, l'attacco alla Sony Pictures sarebbe stato opera di un ex impiegato degli studios licenziato a maggio



Il colpevole sarebbe una donna che si fa chiamare Lena, la quale avrebbe agito con l'aiuto di un gruppo di hacker



Il possibile movente sarebbe legato a una disparità di

retribuzione rispetto ai colleghi maschi

(6)

Cosa è stato rubato?

Alcuni Terabyte di dati comprendenti:



Numeri e password di carte di credito



Numeri di cellulare



Numeri della Social Security di 47mila dipendenti



Contratti



Stipendi



Comunicazioni e-mail dei dirigenti



Film per intero (Annie, Fury, Still Alice, Mr. Turner, To Write

Love on Her Arms)

(7)

Come è stato fatto l’attacco?

(8)

diskpartmg16.exe



É il primo file creato sul computer infetto, che quando eseguito crea

net_ver.dat e igfxtrayex.exe



net_ver.dat: contiene gli indirizzi IP specifici a cui il computer inizialmente

infettato andrà a collegarsi

(9)

igfxtrayex.exe



Cancella i file



Ferma Microsoft Exchange Information Store



Installa componenti aggiuntivi:



usbdrv32.sys che consente agli attaccanti l’accesso read/write ai file



iissvr.exe è una backdoor che resta in ascolto sulla porta

80

(10)

iissvr.exe



Una volta che l’attaccante comunica con il computer

compromesso compare il seguente messaggio

(11)

Attacco a Sony

Attacco a Sony

Bulfon Ilaria

Soldan Elena

Cosa è successo?

Chi si nasconde dietro i Guardians Of Peace (GOP)?

Ipotesi:

Corea del Nord

Ex dipendente

Cyberterroristi

Organizzazione di hacker

Ipotesi: Corea del Nord

Inizialmente il governo

americano pensava che questo attacco fosse stato condotto per fermare l’uscita di “The Interview”, il film satira sul leader nordcoreano Kim Jong- un

Gli hacker hanno minacciato attacchi contro i cinema che lo avessero proiettato

costringendo inizialmente la Sony Pictures a bloccarne l’uscita, per renderlo poi

disponibile in 300 sale e online

a Natale

Ipotesi: ex-dipendente

Secondo un'inchiesta della società di sicurezza cibernetica

Norse, l'attacco alla Sony Pictures sarebbe stato opera di un ex impiegato degli studios licenziato a maggio

Il colpevole sarebbe una donna che si fa chiamare Lena, la quale avrebbe agito con l'aiuto di un gruppo di hacker

Il possibile movente sarebbe legato a una disparità di

retribuzione rispetto ai colleghi maschi

Cosa è stato rubato?

Alcuni Terabyte di dati comprendenti:

Numeri e password di carte di credito

Numeri di cellulare

Numeri della Social Security di 47mila dipendenti

Contratti

Stipendi

Comunicazioni e-mail dei dirigenti

Film per intero (Annie, Fury, Still Alice, Mr. Turner, To Write

Love on Her Arms)

Come è stato fatto l’attacco?

diskpartmg16.exe

É il primo file creato sul computer infetto, che quando eseguito crea

net_ver.dat e igfxtrayex.exe

net_ver.dat: contiene gli indirizzi IP specifici a cui il computer inizialmente

infettato andrà a collegarsi

igfxtrayex.exe

Cancella i file

Ferma Microsoft Exchange Information Store

Installa componenti aggiuntivi:

usbdrv32.sys che consente agli attaccanti l’accesso read/write ai file

iissvr.exe è una backdoor che resta in ascolto sulla porta

80

iissvr.exe

Una volta che l’attaccante comunica con il computer

compromesso compare il seguente messaggio

Grazie per l’attenzione