(Bilde: Jakub Pavlinec)

Dark Seoul

– Hackerne som lammet Sony er fortsatt høyst aktive

Snorre Fagerland knytter angrepet mot fersk skadevare.

Dataangrepet mot Sony Pictures i 2014 regnes som et av de mest spektakulære. Hollywood-selskapet ble plyndret for mengder av interne hemmeligheter, dokumenter, personalfiler og filmproduksjoner som ennå ikke hadde hatt premiere.

Det amerikanske sikkerhetsselskapet Blue Coat, som har avdeling på Lysaker etter oppkjøpet av norske Norman Shark, kom nylig med en rapport (.pdf) hvor de analyserer sammenhenger melllom skadevaren brukt både i dette og flere andre angrep.

– Amerikanske myndigheter pekte tidlig på Nord-Korea som ansvarlig, uten at sikkerhetsmiljøet nødvendigvis støttet disse spekulasjonene. Nå som vi har mer data å gå på, har vi funnet mange likheter ved Sony-innbruddet og tidligere hackerangrep. Det er samme kode som går igjen, samme metodikk og samme kryptoalgoritmer.

– Vi ser at det er brukt like passord og autentiseringsnøkler. Angrepet kan nok lenkes til hackergruppen Dark Seoul, som har vært et fast problembarn siden 2009, sier seniorforsker på sikkerhet, Snorre Fagerland hos Blue Coat.

Skjuler seg godt

Han har jobbet med å dokumentere skadevaren forbundet med angrepene.

Sikkerhetseksperten sier at grupperingen bak er sofistikert, og at de står bak en rekke angrep mot banknettverk både i Sør-Korea og USA. Allikevel vil ikke Fagerland gå så langt som å si at Dark Seoul står på lønningslisten til nordkoreanerne.

Hackergruppen er ifølge Fagerland usedvanlig gode på å skjule egne spor. Han sier at det er svært enkelt å forfalske spor etter datainnbrudd, men at det er vanskelig å gjøre dette konsistent.

Ifølge ham er Dark Seoul fortsatt aktive, og de publiserte skadevare så sent som i mars i år.

– Når sporene er så konsistente som vi ser her, er jeg helt sikker på at det er Dark Seoul som står bak. Det er selvfølgelig lett å se for seg at dette er angrep orkestrert av militært personell fra Nord-Korea, men det har jeg ingen harde data på, forklarer Fagerland og opplyser at landet har en tropp med rundt 6 000 dataangrepseksperter.

Høy produksjon, men varierende kvalitet

– Dette er en gruppering som lager mye og variert skadevare. Det forteller meg at det er mange individer som jobber aktivt. Vi antar at de ikke bygger skadevaren sentralt, fordi det finnes mange variasjoner i koden på det de lager.

Fagerland sier at det er et stort sprik i kunnskapsnivået hos hackergrupperingen.

– Noen ting som blir produsert er helt banale, mens andre ting er i det øvre sjiktet. Det som blir produsert av skadevare i det øvre sjiktet er komplisert, og utnytter sikkerhetshull som er svært vanskelig å finne, forklarer han.

– Bør norske virksomheter være bekymret?

– Hvis Norge skulle tatt et standpunkt mot nordkoreansk ledelse og massemediene hadde fremmet dette budskapet, skal man ikke se bort i fra at dette kunne blitt et problem også for oss, konstaterer han.

Botnett

Hackergruppen bruker utelukkende maskiner de tidligere har hacket for å utføre angrepene med. Disse brukes blant annet som kommando- og kontrollservere, og som mellomstasjoner for å komme seg videre.

En kommando- og kontrollserver er en server brukt til å administere og sende kommandoer til et typisk stort nettverk av infiserte klientmaskiner samlet i et såkalt botnett.

– Det er ganske interessant. Sett fra deres synsvinkel har det to fordeler. Man slipper å kjøpe egne dedikerte servere som lett kan spores, og man slipper å betale for det. Dette er en bevisst strategi, konstaterer han.

Fagerland mener nytteverdien av kartleggingen til Blue Coat vil komme kundene deres til gode.

– For oss er analyser som dette helt normalt. De gjør at vi kan spore hva grupperingene foretar seg i fremtiden. Det gjør at vi kan tilby produkter som beskytter kundene. Finner hackergruppen på noe nytt, gjør denne analysen oss bedre forberedt på hva som kan komme senere,  sier eksperten og legger til at det er umulig å sikre seg helt mot dataangrep.

Til toppen