カスペルスキーの代表であるカート・バウムガートナー氏は、ソニーを襲撃するマルウェアに関する詳細を発表し、サウジアラムコと韓国への攻撃との関連性を明らかにした。
先月のソニーの大規模な情報漏洩を受けて行われた調査により、Guardians of Peace (GOP)として知られる攻撃の背後にいる者たちと、サウジアラビアとイランの間で緊張が高まっていた時期に3万台のコンピューターにShamoonマルウェアを感染させた「WhoIs Team」による2012年のサウジアラムコへのハッキング事件との関連が明らかになった。
このマルウェアはソニーの社内マシンを無効化または破壊し、ITロックダウンを余儀なくさせました。トレンドマイクロはBKDR_WIPALL、カスペルスキーはDestoverと名付けました。
バウムガートナー氏の研究は、両攻撃と2013年のダークソウルハッキングで使用されたマルウェアが同じ犯人によって展開されたという主張にさらなる説得力を与えた。
「シャムーン、ダークソウル、デストーバーの3つの事件すべてにおいて、大規模ネットワーク全体に破壊的な影響を与えたと主張するグループには、独自の歴史も本当のアイデンティティもなかった」とバウムガートナー氏(@k_sec)は分析記事に記した。
「犯人らは全員、犯行後に姿を消そうとし、明確な供述はせず、奇妙で回りくどい犯罪行為の告発を行い、問題の核心であったとされる政治的に緊迫した事件の直後に破壊行為を扇動した。
Dark Seoul WhoisとDestover GOPグループの画像には、「ハッキングされた」という主張に加え、「警告」と盗難データに関する脅迫が含まれていました。どちらも、これは始まりに過ぎず、グループは再び活動を開始すると脅迫していました。
ソニーと韓国への攻撃を結びつけるもう一つの点は、使用された改ざんのスタイルで、頭蓋骨と色使いが共通していたことだ。共和党は、サウジ・アラムコの犯人たちが「正義の刃」として名乗ったグループ名に似た、安っぽい90ハッカー風の音韻構造を持つグループ名を名乗っていた。
技術的な類似点もありました。ShamoonとWiperはドロッパーのリソースセクションに保持されている市販のEldoS RawDiskドライバを使用していましたが、ShamoonとDark Seoulは政治的なメッセージをドロップしてディスクデータとマスターブートレコードを上書きしていました。
ダークソウル攻撃とソニー攻撃では、ハッカーたちは厳しい期限内に攻撃の2日前に実行ファイルをコンパイルした。
シャムーンのコンポーネントも同様に急いで製造され、Dデイの5日後に製造されました。
共通点には北朝鮮を示唆する決定的な証拠はないが、被害者の知名度の高さを考慮すると、これらの攻撃活動の関連性は「異例」だとバウムガートナー氏は述べた。
「...反動的な出来事と、グループの活動やツールセットの特徴はすべて顕著な類似点を持っていることに留意すべきであり、このような異常かつ集中的な大規模サイバー破壊行為が明らかに認識できる類似点をもって実行されていることは異常である」と彼は述べた。
バウムガートナー氏は、このマルウェアが「シャムーン」や「ダークソウル」で使用されたものと十分近ければ、ソニーは消去されたデータを回復できる可能性が高いと述べた。®
