Sadržaj

Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment

Napad na Sony Pictures Entertainment (SPE) u studenom 2014. godine predstavlja jedan od najrazornijih primjera kibernetičkog ratovanja usmjerenog protiv privatne korporacije. Ovaj incident nije bio samo povreda podataka nego i višeslojni napad koji je obuhvaćao krađu intelektualnog vlasništva, ucjenu, uništavanje infrastrukture pomoću zlonamjernog softvera te pokušaj utjecaja na geopolitičke odnose. Iz perspektive računalne forenzike, slučaj Sony pruža uvid u digitalne tragove koji se protežu svim ključnim disciplinama: od mrežne i memorijske forenzike do forenzike medija za pohranu i forenzike digitalnih dokumenata.

Kontekst incidenta i povijest ranjivosti

Razumijevanje napada iz 2014. godine zahtijeva osvrt na širu sigurnosnu kulturu unutar Sony korporacije. Sony Pictures Entertainment, kao dio globalnog giganta s preko 130.000 zaposlenika, imao je povijest značajnih sigurnosnih propusta. Najznačajniji prethodni incident dogodio se u travnju 2011. godine kad je PlayStation Network (PSN) pretrpio upad koji je kompromitirao osobne podatke preko 77 milijuna korisnika. Taj je incident koštao tvrtku oko 171 milijun dolara i doveo do kritika stručne javnosti zbog nedostatka osnovnih zaštitnih mjera poput vatrozida na ključnim segmentima mreže. Unatoč obećanjima o jačanju sigurnosti, interna revizija u Sonyju iz 2014. otkrila je da se kritični sustavi i dalje neadekvatno nadziru. Otkriveno je da vatrozid i preko stotinu računala nadziru zaposlenici studija, a ne centralni korporativni sigurnosni tim, što je stvorilo fragmentiranu obranu. Ovakva kultura, u kojoj se sigurnost često smatrala troškom, a ne investicijom, kulminirala je izjavom izvršnog direktora za informacijsku sigurnost koji je 2007. izjavio da ne bi investirao 10 milijuna dolara kako bi izbjegao potencijalni gubitak od jednog milijuna. Politički motiv napada bio je izravno povezan s objavom filma “The Interview” u čijoj radnji CIA zapošljava dva novinara kako bi izvršili atentat na sjevernokorejskog vođu Kim Jong Una zbog čega je Sjeverna Koreja film proglasila činom rata i terorizma. Grupa Guardians of Peace (#GOP) iskoristila je ovaj motiv za destruktivnu fazu napada, iako su se početne ucjenjivačke e-poruke fokusirale na financijsku naknadu.

Kronologija napada

Faza napada Vrijeme Ključne aktivnosti Forenzički artefakti
Početna infiltracija Rujan 2014. Spear-phishing kampanja usmjerena na zaposlenike Logovi e-pošte, zaglavlja poruka, poveznice na lažne stranice
Lateralno kretanje Listopad-Studeni 2014. Eskalacija privilegija, mapiranje mreže, krađa vjerodajnica Windows Event Logovi, LM/NTLM hash-evi u RAM-u, artefakti PsExec-a
Eksfiltracija podataka Studeni 2014. Krađa preko 100 TB podataka (filmovi, e-pošta) NetFlow zapisi, logovi mrežnih barijera, anomalije u prometu
Destrukcija i objava 24. studenog 2014. Aktivacija “wiper” malwarea, prikaz slike na ekranima Oštećen MBR, izbrisani logovi, Destover binarni uzorci
Oporavak i istraga Prosinac 2014.-2015. Forenzička analiza, angažman Mandianta i FBI-a Forenzičke slike diskova, dumpovi memorije, rekonstruirani dokumenti

Metodologija prikupljanja i rukovanja digitalnim tragovima

U forenzičkoj istrazi ovakvog opsega, od primarne je važnosti primjena rigoroznih postupaka prikupljanja tragova kako bi se osigurala pravna dopustivost dokaza. Digitalni tragovi su po svojoj prirodi krhki, stoga je svaki korak u rukovanju bio podložan strogim standardima.

Identifikacija i osiguravanje mjesta događaja

Kada je 24.11.2014. postalo jasno da je mreža kompromitirana, prvi korak bio je prekidanje mrežnih veza i isključivanje VPN-a kako bi se spriječila daljnja eksfiltracija. Iz forenzičke perspektive, važno je napomenuti da isključivanje računala briše sadržaj radne memorije (RAM) što uništava dokaze o aktivnim procesima. Međutim, u slučaju destruktivnog “wiper” malwarea, isključivanje može biti jedini način da se spasi dio podataka s diska prije trajnog brisanja.

Akvizicija podataka i lanac nadzora

Akvizicija podataka uključivala je izradu forenzičkih slika tisuća računala i poslužitelja. Korišteni su alati poput FTK Imager i dd za izradu identičnih kopija medija za pohranu. Tijekom cijelog procesa održavan je lanac nadzora (Chain of Custody), dokumentirajući svaki pristup dokazu. Svaka forenzička slika verificirana je hash vrijednošću (SHA-256). Usporedba hash vrijednosti prije i nakon analize ključna je za dokazivanje integriteta jer bilo kakva promjena u vrijednosti kompromitira dokaz pred sudom.

Postupak Opis radnje Korišteni alati/tehnike
Dokumentacija Zapisivanje stanja sustava i vremena akvizicije Digitalni fotoaparati, laboratorijski dnevnici
Izolacija Sprječavanje vanjskog utjecaja na dokaz Mrežna izolacija, fizičko osiguravanje
Snimanje (Imaging) Izrada identične kopije digitalnog medija Hardverski write-blockers, FTK Imager
Verifikacija Potvrda integriteta kopije Hashing algoritmi (SHA-256)
Arhiviranje Sigurno pohranjivanje originalnih medija Sefovi za dokaze, kontrolirani pristup

Mrežna forenzika: Analiza infiltracije i eksfiltracije

Mrežna forenzika fokusira se na nadzor i analizu prometa u svrhu detekcije upada i prikupljanja dokaza. U slučaju Sonyja, ovi su tragovi otkrili putanju napadača od vanjske infiltracije do lateralnog kretanja kroz intranet.

Analiza spear-phishinga i inicijalnog pristupa

Istraga je utvrdila da je inicijalni vektor napada bio spear-phishing. Napadači su slali poruke koje su imitirale legitimne obavijesti, vodeći žrtve na web sjedišta za prikupljanje vjerodajnica. Analiza SMTP zaglavlja (headers) bila je ključna za utvrđivanje porijekla poruka i putanje kroz mail releje.

Lateralno kretanje i mrežni artefakti

Nakon inicijalnog pristupa, napadači su koristili SMB (Server Message Block) worm tool za automatsko širenje mrežom koristeći ukradene vjerodajnice. Forenzička analiza mrežnog prometa otkrila bi anomalije u SMB komunikaciji između radnih stanica.

Ključni artefakti uključivali su:

  1. C2 komunikaciju: Malware je komunicirao s Command and Control poslužiteljima putem portova 80, 443, 8000 i 8080. Analiza mrežnih paketa (PCAP) otkrila je periodične “beacone”.
  2. Eksfiltraciju podataka: Krađa 100 TB podataka odvijala se kroz duže razdoblje. Rekonstrukcija vremenskih okvira pomoću NetFlow podataka ukazala je na ozbiljne propuste u sustavima za detekciju upada (IDS) koji nisu prepoznali masovni odljev informacija.

Memorijska forenzika: Detekcija residentnih prijetnji

Memorijska forenzika (analiza RAM-a) nužna je za otkrivanje naprednih prijetnji koje ne ostavljaju tragove na disku, poput injekcije koda u legitimne procese.

Primjena Volatility Frameworka

Volatility Framework predstavlja standard u analizi memorijskih dumpova. Analizom RAM-a sa Sonyjevih poslužitelja identificirano je sljedeće:

  1. Skriveni procesi: Korištenjem plugina poput psxview, istražitelji su usporedili liste procesa iz različitih sistemskih struktura kako bi detektirali prisutnost rootkita.
  2. Injekcija koda: Destover wiper je koristio procese poput taskhost.exe za prikrivanje. Plugin malfind omogućio je pronalaženje memorijskih stranica s neovlaštenim dozvolama za izvršavanje.
  3. Vjerodajnice u memoriji: Ekstrakcija hasheva lozinki iz LSASS procesa potvrdila je metodu kojom su napadači preuzimali kontrolu nad administratorskim računima.
Volatility Plugin Primjena u analizi Rezultat
pstree Prikaz hijerarhije procesa Identifikacija neobičnih roditeljskih procesa
netscan Analiza mrežnih veza u RAM-u Detekcija aktivnih veza prema C2 IP adresama
cmdscan Povijest naredbi u terminalu Rekonstrukcija interaktivnih sesija napadača
memdump Izvlačenje memorijskog prostora Binarna analiza malwarea izdvojenog iz RAM-a

Forenzika medija za pohranu: Analiza destruktivnog softvera

Destruktivna faza napada izvedena je pomoću malwarea Destover, čiji je cilj bio trajno onemogućiti rad sustava.

Analiza Destover wipera

Forenzička analiza diskova zaraženih računala pokazala je specifične mehanizme uništenja:

  1. MBR (Master Boot Record) korupcija: Malware je prebrisivao prve sektore diska, uništavajući particijsku tablicu i onemogućujući podizanje sustava.
  2. Raw Disk Access: Korišteni su driveri koji su omogućili izravno pisanje po hardveru diska, zaobilazeći sigurnosne kontrole operacijskog sustava.
  3. Brisanje podataka: Nakon uništenja boot sektora, malware je sustavno brisao blokove podataka do potpunog kolapsa sustava.

Tehnike oporavka: Data Carving

U slučajevima uništenja metapodataka datotečnog sustava (poput MFT-a u NTFS-u), primjenjuje se data carving. Ova metoda traži specifične “digitalne potpise” zaglavlja i podnožja datoteka u sirovim bajtovima diska. Na primjer, traženje niza FF D8 FF E0 omogućuje identifikaciju JPEG datoteka čak i kada operacijski sustav taj prostor vidi kao prazan (unallocated space). Ograničenja ove metode javljaju se kod fragmentiranih diskova i modernih SSD uređaja s aktivnom TRIM tehnologijom.

Zaključak

Napad na Sony Pictures Entertainment trajan je podsjetnik na nužnost rigorozne forenzičke metodologije. Ovaj slučaj demonstrira kako se teorijski koncepti – poput lanca nadzora, hash verifikacije i memorijske analize primjenjuju u kritičnim situacijama stvarnog svijeta.

Ključni zaključci analize uključuju:

  1. Vidljivost kao preduvjet: Bez adekvatnog logiranja i mrežnog nadzora, forenzička rekonstrukcija je znatno otežana.
  2. Integrirani pristup: Uspješna istraga zahtijevala je istovremenu primjenu mrežne, memorijske i diskovne forenzike.
  3. Proceduralna disciplina: Strogo pridržavanje procedura akvizicije jedini je način da nalazi budu održivi pred zakonom.

Slučaj Sony predstavlja evolucijski korak koji je prisilio organizacije na preispitivanje strategija upravljanja digitalnim tragovima i zaštite kritične infrastrukture.

Literatura

  1. G. Sanchez, “Case Study: Critical Controls that Sony Should Have Implemented,” SANS Institute, Jun. 1, 2015. https://www.sans.org/white-papers/36022/
  2. Johns Hopkins University Applied Physics Laboratory, Sony’s Nightmare Before Christmas: The 2014 North Korean Cyber Attack on Sony Pictures Entertainment, 2022. https://www.jhuapl.edu/sites/default/files/2022-12/SonyNightmareBeforeChristmas.pdf
  3. Fakultet elektrotehnike i računarstva, Sveučilište u Zagrebu, Računalna forenzika. https://www.fer.unizg.hr/predmet/racfor/materijali
  4. Columbia University, School of International and Public Affairs, The Hacking of Sony Pictures: A Case Study, 2022. https://www.sipa.columbia.edu/sites/default/files/2022-11/Sony%20-%20Written%20Case.pdf
  5. Coverlink, “Cyber Case Study: Sony Pictures Entertainment Hack,” Coverlink. https://coverlink.com/case-study/sony-pictures-entertainment-hack/
  6. “Nation-State Cyber Attacks on Critical Infrastructure: A Case Study and Analysis of the 2014 Sony Pictures Hack.” https://www.researchgate.net/publication/387465146_Nation-State_Cyber_Attacks_on_Critical_Infrastructure_A_Case_Study_and_Analysis_of_the_2014_Sony_Pictures_Hack_by_North_Korea
  7. D. Perera, “Researcher Claims Destover Malware Hoax,” BankInfoSecurity. https://www.bankinfosecurity.com/destover-taps-stolen-sony-certificate-a-7660
  8. Infosec Institute, “Major Cyber Attack Hits Sony Pictures’ Corporate Network,” Infosec Institute. https://www.infosecinstitute.com/resources/news/cyber-attack-sony-pictures-much-data-breach/
  9. Cybersecurity and Infrastructure Security Agency, Destructive Malware. https://www.cisa.gov/sites/default/files/documents/Destructive_Malware_White_Paper_S508C.pdf
  10. Cybersecurity and Infrastructure Security Agency, “Targeted Destructive Malware,” 2014. https://www.cisa.gov/news-events/alerts/2014/12/19/targeted-destructive-malware
  11. “File Recovery Method in NTFS-Based Damaged RAID Systems,” HCIS Journal. http://hcisj.com/data/file/article/2022080005/12-40.pdf
  12. M. Hamdan, “Memory Forensics with Volatility,” Medium. https://motasemhamdan.medium.com/memory-forensics-with-volatility-pdf-malware-analysis-with-any-run-cyber-incident-response-436d31cde2b6
  13. Cyber Triage, “Data Carving,” Cyber Triage. https://www.cybertriage.com/glossary-term/data-carving/
  14. “A Comprehensive Study of Digital Forensics and Incident Response.” https://www.ijrti.org/papers/IJRTI2410015.pdf
  15. SEFCOM, Digital Evidence Chain of Custody. https://sefcom.asu.edu/publications/CoC-SoK-tps2024.pdf
  16. “Legal and Ethical Challenges in Digital Forensics Investigations.” https://www.researchgate.net/publication/387676341_Legal_and_Ethical_Challenges_in_Digital_Forensics_Investigations
  17. ACE Computers, “5 Best Practices for Chain of Custody in Digital Forensics,” ACE Computers. https://acecomputers.com/chain-of-custody-in-digital-forensics/
  18. American Military University, “How to Maintain Chain of Custody for Digital Forensic Evidence,” American Military University. https://www.amu.apus.edu/area-of-study/criminal-justice/resources/how-to-maintain-chain-of-custody-for-digital-forensic-evidence/
  19. ENow Software, “The Sony Hack: Vital Lessons for Microsoft Admins,” ENow Software. https://www.enowsoftware.com/news/bid/186961/the-sony-hack-vital-lessons-for-microsoft-admins
  20. “Advancements and Challenges in Digital Forensics,” IJARSCT. https://ijarsct.co.in/Paper30242.pdf
  21. Security Affairs, “Stolen Sony Certificates Used to Digitally Sign Destover Malware,” Security Affairs. https://securityaffairs.com/30965/cyber-crime/destover-signed-sony-certificates.html
  22. MITRE Corporation, “Lazarus Group (G0032),” MITRE ATT&CK. https://attack.mitre.org/groups/G0032/
  23. DataRecovery.com, “Data Carving: Data Recovery Techniques Explained,” DataRecovery.com. https://datarecovery.com/rd/data-carving-data-recovery-techniques-explained/
  24. “File Carving: Analyzing Data Retrieval in Digital Forensics,” International Journal of Computer Information Technology. https://ijcit.com/index.php/ijcit/article/view/420/109
  25. Belkasoft, “Carving and Its Implementations in Digital Forensics,” Belkasoft. https://belkasoft.com/carving-and-its-implementations
  26. Wikipedia contributors, “2014 Sony Pictures hack,” Wikipedia. https://en.wikipedia.org/wiki/2014_Sony_Pictures_hack
  27. Online Hash Crack, “Sony Pictures Hack 2014: Destructive Wiper Attack,” Online Hash Crack. https://www.onlinehashcrack.com/guides/breach-case-studies/sony-pictures-hack-2014-destructive-wiper-attack.php