BOLETIN DE SEGURIDAD INFORMATICA

ANALISIS DE INCIDENTE INFORMATICO DE SONY PICTURES

FECHA: 24 de Noviembre de 2014
TIPO DE ATAQUE: Publicacin de Informacion Sensible y Borrado de Informacion en los
servidores de SONY PICTURES.
DESCRIPCION:
El 24 de noviembre, los empleados de Sony PICTURES se encontraron un mensaje en sus
computadoras que deca que haban sido comprometidas por Guardians of Peace (GoP). El
grupo amenazaba con hacer pblica informacin confidencial obtenida desde el interior de la
empresa.

Tras ello, los empleados recibieron instrucciones para apagar los ordenadores, no acceder a las
redes corporativas ni al correo electrnico, as como desactivar las redes Wi-Fi en todos los
dispositivos mviles. A muchos de ellos les ordenaron que se fueran a casa. Los atacantes
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 1 de 8

BOLETIN DE SEGURIDAD INFORMATICA

habran tomado el control de algunas de las cuentas de Twitter de Sony Pictures, aunque ya
habran sido recuperadas por la compaa.
Mediante una nota en Reddit se da a conocer lo que parece una escandalosa intrusin en la
compaa Sony Pictures Entertainment realizada por un grupo autodenominado #GOP o
"Guardians of Peace" y en la que reclaman que se cumplan sus requisitos o publicarn sus
secretos. Como prueba, publican dos ficheros, "list1.txt" y "list2.txt", con la informacin que han
robado.
(https://www.reddit.com/r/hacking/comments/2n9zhv/i_used_to_work_for_sony_pictures_my
_friend_still/)

Las listas contienen los archivos supuestamente robados de los ordenadores de la red de Sony.
Uno de los archivos contiene ms de 18 millones de entradas y otro con ms de 19 millones.
Casi 38 millones de archivos en total, que incluyen hojas de clculo, documentos (doc y pdf),
archivos de texto, contraseas, bases de datos, imgenes, claves privadas, etc
Si bien desde la compaa no han confirmado que la filtracin est directamente relacionada al
ataque de GOP, todo parece indicar que estas pelculas son parte de lo que los atacantes
pudieron extraer al acceder a los sistemas de Sony Pictures -y detener el funcionamiento normal
de la empresa, sus telfonos y servicios de correo electrnico. En su momento, afirmaron que
contaban con "todos los datos internos incluyendo secretos".
Luego del ataque de la semana pasada a Sony Pictures, los investigadores han estado
trabajando para determinar quin estuvo detrs. Segn Recode, se investiga la posibilidad de
que los atacantes trabajaran para Corea del Norte, con la espaculacin de que la intrusin sea
una respuesta a (o una amenaza contra) la pelcula de Sony todava no estrenada, "The
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 2 de 8

BOLETIN DE SEGURIDAD INFORMATICA

Interview". Es una comedia con Seth Rogen y James Franco como periodistas de TV, que se ven
involucrados en un plan para asesinar al lder norcoreano Kim Jong-Un, segn cuenta CNET.
segn confirma el NYT, el robo informacin consisti en "decenas de terabytes" de datos
internos de Sony: informacin personal de trabajadores de la empresa (nmero de seguridad
social, datos de nacimiento, etc.), contraseas, salarios, datos de altos ejecutivos, comentarios
de rendimiento laboral, planes de marketing, informacin financiera y mucho ms.
De a poco, la informacin est siendo publicada y algunos archivos aparentemente tambin
estn siendo negociados en redes Torrent, entre ellos un archivo Excel que incluye nombres,
ubicacin, ID de empleados, nombre de usuarios de la red, salarios base y fechas de nacimiento
de 6.800 personas.

La segunda ocasin fue dos das despus, el 3 de diciembre, 1.18Gb de informacin y dos
archivos: "bonus.rar" y "list.rar", ambos con datos mucho ms sensibles como certificados de
servidores y unas quinientas contraseas para administrar los sistemas y sus aplicaciones y
bases de datos en texto claro.

S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 3 de 8

BOLETIN DE SEGURIDAD INFORMATICA

La tercera publicacin ocurre el 5 de diciembre con otro comunicado y ms enlaces en pastebin.

22 ficheros y 100Gb de datos financieros como forecasts, cierres de ao, presupuestos,
contratos, incidentes... Bloomberg especula que la primera filtracin se hizo desde un hotel en
Tailandia. El 8 de diciembre vuelven las filtraciones, la cuarta con 4 archivos que suman 2.8Gb y
otra comunicacin distinta con un mensaje que menciona los motivos del ataque y la pelcula
"The Interview", aunque se desconoce si es o no real.

: la conciencia con respecto a la seguridad en Sony es inexistente, al punto que la compaa

guardaba miles de contraseas en una carpeta con el nombre... "Password".

S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 4 de 8

BOLETIN DE SEGURIDAD INFORMATICA

Quien quiera que sean, los sujetos que atacaron a Sony utilizaron malware de borrado (wiping)
para destruir sistemas de Sony, y estn liberando lentamente pilas de datos confidenciales y
propiedad intelectual robadas de esta empresa. Y saban todo lo que haba que saber acerca de
la
infraestructura
IT de Sony.

Investigadores de seguridad descubrieron que el malware de borrado (llamado Destover

muestra en virustotal por algunas personas, WIPALL por otras) utilizaba certificados digitales
ya revocados y contena nombres codificados de servidores dentro de la red de Sony y las
credenciales para acceder a ellos. Adems, los atacantes mismos liberaron a fines de semana
pasada un nuevo conjunto de 11,000 archivos que incluyen, como un reportero explic, "todo lo
necesario para manejar las operaciones IT cotidianas de Sony".
Fieles a su palabra, los atacantes comenzaron a subir datos confidenciales de Sony a Pastebin.
Los archivos filtrados contenan datos corporativos y propiedad intelectual. Los archivos
incluyen tambin copias completas de pelculas que no han sido estrenadas y el guin de un
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 5 de 8

BOLETIN DE SEGURIDAD INFORMATICA

nuevo programa piloto de televisin del creador de Breaking Bad. Se revelaron salarios,
evaluaciones de desempeo y verificaciones de antecedentes criminales del personal.
En tanto, el software de eliminacin comenz a destruir todos los sistemas internos de Sony. El
FBI liber una alerta la semana pasada, la cual no mencionaba explcitamente a Sony, pero
adverta de un malware de eliminacin con "la capacidad de sobrescribir la MBR del sistema
anfitrin de la vctima y todos los archivos de datos. La sobrescritura de los archivos de datos
har en extremo difcil y costoso si no es que imposible recuperar los datos empleando
mtodos forenses estndar".
La recuperacin de una infraccin a datos y una destruccin a gran escala del sistema al mismo
tiempo es excepcionalmente compleja. Para colmo, hay algo que complica an ms las cosas: el
tesoro de datos filtrados el jueves pasado incluye todo lo que los atacantes necesitaran para
comprometer de nuevo a Sony, en la forma que elijan. Entre ellos hay tokens RSA SecurID,
mapas de la red global (describiendo a detalle bases de datos y servidores empresariales),
credenciales/archivos de acceso para servidores de control de calidad, servidores de montaje,
servidores de produccin, ruteadores, switches, balanceadores de carga, servidores FTP,
cuentas de correo electrnico y aplicaciones de terceros (como UPS, FedEx, McAfee, Google
Analytics, iTunes, Sprint y Verizon).
Entonces, cmo se recupera una empresa? Tendr que quemar todo lo que quede y construir
algo totalmente nuevo y diferente?
"Apaguen todo", sugiri Jody Brazil, de FireMon. En su visin, botar la compaa completa no es
la solucin, pero por ahora, su recomendacin es desactivar toda la comunicacin externa y el
acceso Web (y devolverlos a operacin lentamente y con cautela), restableciendo todas las
contraseas, instituyendo controles de cambio, realizando una evaluacin masiva de todos los
sistemas y aspirando a tener la empresa en operacin de forma apropiada en semanas, no en
das. "Es un enfoque muy drstico, pero es el indicado", opin.
En otras palabras, el malware de borrado fue personalizado para el entorno de Sony despus de
que los atacantes obtuvieron toda la informacin detallada acerca de la infraestructura IT de
Sony. Cmo obtuvieron esa informacin? Realizaron un ataque por etapas (comprometiendo la
red, fisgoneando, obteniendo credenciales, escalando privilegios, etc.) o alguien de adentro les
proporcion la informacin.

Propuestas del FBI para combatir el Cybercrimen, tras el ataque a Sony

De todas formas, segn Demarest, hay tres formas en las que el FBI podra contribuir en la lucha
contra el Cybercrimen, en vistas de esfuerzos como el que este ao desbarat a las amenazas
GameOver Zeus y Cryptolocker.
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 6 de 8

BOLETIN DE SEGURIDAD INFORMATICA

El primer paso sera la actualizacin de la Ley de Fraude y Abuso a travs de computadoras.

Promulgada por primera vez en 1986, se cre en un momento en que las amenazas cibernticas
eran relativamente modestas, y ha tenido modificaciones en los ltimos aos, pero ninguno
desde 2008.
Actualizar la ley para reflejar estos cambios podra ayudar a fortalecer nuestra capacidad de
castigar, y por lo tanto para disuadir, los delitos que tratamos de evitar.
Un segundo paso, segn el funcionario, sera que las empresas proporcionen notificaciones
rpidas a los consumidores de los posibles robos de datos que ocurran:
Una medida como esa no slo mantendra a las empresas responsables de las violaciones, sino
que tambin ayudara al FBI y otras entidades en sus esfuerzos por identificar, perseguir y
derrotar a los autores de los ciberataques.
El tercer paso implica un mayor intercambio de informacin entre el gobierno y el sector
privado, que permita al FBI un mayor conocimiento de la clase de amenazas activas que afectan
a las empresas.
El FBI apoya legislacin que pueda establecer un marco claro para compartir informacin y
reducir el riesgo en el proceso, adems de proporcionar garantas slidas y directas para la
privacidad y las libertades civiles de los estadounidenses. Los ciudadanos estadounidenses
deben tener confianza en que la informacin sobre amenazas est siendo compartida
apropiadamente, y en las comunidades policiales y de inteligencia debemos ser lo ms
transparente posible.
Durante su testimonio, destac varios cambios en el escenario del Cybercrimen para justificar
sus recomendaciones, incluyendo botnets, vulnerabilidades en banca mvil y las "ms de 1
milln de computadoras en todo el mundo" infectadas con malware. Tambin se refiri a los
ataques a gran escala a eBay, JP Morgan Chase y Sony Pictures.
(http://www.fbi.gov/news/testimony/cyber-security-enhancing-coordination-to-protect-thefinancial-sector)
CONCLUSIONES:

Ataque con alto nivel de sofisticacin

Los atacantes tuvieron tiempo de hacer reconocimiento detallado de la infraestructura y de la
informacion
SONY cometi errores bsicos de nomenclatura de sus archivos
Se debi de tener la informacion clave encriptada
No estaban preparados para un ataque a esa escala, reflejaron la ausencia o falta de preparacin
de un CERT (Equipo de Respuesta de Incidentes Informticos)
Este tipo de ataques conforman un escenario proclive a la ciberguerra, por lo cual toca hacer
esfuerzos desde lo institucional (Gobierno) y lo Privado (Empresas Privada) para blindar las
infraestructuras nacionales de produccin, Financiera y Telecomunicaciones, diseando una
estrategia nacional que tenga capacidad de reaccin ante ataques de empresas, y/o Gobiernos
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 7 de 8

BOLETIN DE SEGURIDAD INFORMATICA

extranjeros. (http://searchdatacenter.techtarget.com/es/cronica/Llegara-la-ciberguerra-en-el2015-Tal-vez-dicen-expertos)
Fuentes:
http://blog.segu-info.com.ar
http://www.welivesecurity.com/la-es/2014/11/25/sony-pictures-fuga-de-datos-confidenciales/
http://www.securitybydefault.com/2014/11/posible-intrusion-y-fuga-de-datos-en.html
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp_luckycat_redux.pdf
http://www.fbi.gov/news/testimony/cyber-security-enhancing-coordination-to-protect-thefinancial-sector
http://www.nytimes.com/2014/12/18/world/asia/us-links-north-korea-to-sony-hacking.html?_r=1
https://www.reddit.com/r/hacking/comments/2n9zhv/i_used_to_work_for_sony_pictures_my_frie
nd_still/

S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com

Website: http://www.swatsecurityit.com/
Pgina 8 de 8