Een jaar later hackte Sony door onbekende hackers uit die tijd onderzoekers en andere programmeurs ingehuurd door Sony Pictures, waarvan ze hebben ontdekt dat er slechts twee malware-hacktools zijn gebruikt om het beveiligingsnetwerk te ontwijken en binnen te dringen.
Hackingtools worden veel gebruikt door hackers, en vandaag de dag gebruikt ook 75 procent van de hackers nog steeds hacktools die directe toegang tot andere computersystemen kunnen hebben. Dit soort tools worden meestal niet gedetecteerd en kunnen grote hoeveelheden gegevens stelen zonder dat het slachtoffer er zich zorgen over hoeft te maken.
Recent nieuws beschrijft dat de beveiligingsonderzoekers uit Damaballa twee hacktools hebben gevonden die in staat zijn en vergelijkbaar zijn met de hack die vorig jaar in Sony Picture Entertainment plaatsvond, de malwarecode die op dat moment werd gevonden, komt overeen met de huidige hacktools.
Sony Hack Mystery onthuld door Damballa
De hacktool is Destover, een hypothetische malware die is geprogrammeerd om duizenden computers te hacken, net zoals het het Sony-netwerk in Zuid-Korea heeft gehackt, de hack volledig GB’s aan waardevolle en geheime gegevens van de bedrijfsserver heeft gestolen en honderden computers van het Sony-kantoor heeft gehackt.
Op woensdag blogpost, Damaballa-onderzoekers Willis McDonald en Loucif Kharouni zeiden: “Beide tools zouden tegelijkertijd zijn gebruikt wanneer de aanval aan detectie ontsnapt en tegelijkertijd het netwerk lateraal binnendringen en uitbreiden naar de aanvalsserver. Als je echt het proces wilt weten over hoe aanvallers detectie door de beveiliging konden vermijden, is het antwoord hierboven, het is zeker dat aanvallers slechts één tool hebben gebruikt om in te breken in het netwerk, maar voor zover ons onderzoek de beide tools hebben dezelfde codeermalware binnenin.” ze zeiden.
Een van die twee apparaten die specifiek setMFT wordt genoemd, helpt de aanvaller met een methode als Timesstoppong. Ze zeiden: “Dit kan de aanwezigheid van een record verbergen voor beveiligingspersoneel dat op zoek is naar schadelijke documenten of documenten die na een bepaalde datum zijn gemaakt, Timestomping kan verder gaan dan een onzorgvuldige controle”. Het wordt regelmatig gebruikt als onderdeel van een mix met het hernoemen van een recent bekend document, waardoor het lijkt te vermengen met een verzameling van verschillende records.
“Een volledig juridisch onderzoek van een raamwerk zou de nabijheid van afset en ontbrekende logacties blootleggen, maar het is redelijk dat deze actie in eerste instantie onopgemerkt zou blijven, waardoor de ziekte met een hoog risico zou blijven.” Afset “staat de aanvaller toe om sluipend te blijven en hun sporen uit te wissen terwijl ze door het systeem reizen”, componeerden ze. Het andere apparaat, afset, wordt gebruikt voor tijdstempels en het opschonen van loginformatie die in Windows is opgeslagen, maar kan ook de constructietijd en de controlesom van een uitvoerbaar bestand wijzigen.
Lees ook:
- Cybercriminaliteit in India verloor Rs.16.000 gemiddeld 11,3 miljoen aanvallen,
- Zuid-Koreaanse bedrijven worden binnenkort aangevallen door Dark Seoul-hackers
- VS staat bedrijven toe om vergelding China te HACKEN
Het kan voor organisaties lastig zijn om gatecrashers in hun systemen te onderscheiden, vooral als de aanvallers legitieme inlogcertificaten gebruiken die zijn gestolen van een goedgekeurde klant. Eenmaal binnen kan het gebruik van deze hulpprogramma’s het aanzienlijk moeilijker maken om interessante acties te onderscheiden. Slechts één antivirusitem herkende beide instrumenten, zo stelden de wetenschappers samen. Dat maakt het waarschijnlijk dat meer up-to-date weergaven ervan niet zouden worden herkend, in ieder geval in eerste instantie.