Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment

Napad na Sony Pictures Entertainment (SPE) u studenom 2014. godine predstavlja jedan od najrazornijih primjera kibernetičkog ratovanja usmjerenog protiv privatne korporacije. Ovaj incident nije bio samo povreda podataka, već višeslojni napad koji je obuhvaćao krađu intelektualnog vlasništva, ucjenu, uništavanje infrastrukture pomoću zlonamjernog softvera te pokušaj utjecaja na geopolitičke odnose. Iz perspektive računalne forenzike, slučaj Sony pruža uvid u digitalne tragove koji se protežu kroz sve ključne discipline: od mrežne i memorijske forenzike do forenzike medija za pohranu i forenzike digitalnih dokumenata.

Razumijevanje napada iz 2014. godine zahtijeva osvrt na širu sigurnosnu kulturu unutar Sony korporacije. Sony Pictures Entertainment, kao dio globalnog giganta s preko 130.000 zaposlenika, imao je povijest značajnih sigurnosnih propusta. Najznačajniji prethodni incident dogodio se u travnju 2011. godine kad je PlayStation Network (PSN) pretrpio upad koji je kompromitirao osobne podatke preko 77 milijuna korisnika. Taj je incident koštao tvrtku oko 171 milijun dolara i doveo do kritika stručne javnosti zbog nedostatka osnovnih zaštitnih mjera poput vatrozida na ključnim segmentima mreže. Unatoč obećanjima o jačanju sigurnosti, interna revizija u Sonyju iz 2014. otkrila je da se kritični sustavi i dalje neadekvatno nadziru. Otkriveno je da vatrozid i preko stotinu računala nadziru zaposlenici studija, a ne centralni korporativni sigurnosni tim, što je stvorilo fragmentiranu obranu. Ovakva kultura, u kojoj se sigurnost često smatrala troškom, a ne investicijom, kulminirala je izjavom izvršnog direktora za informacijsku sigurnost koji je 2007. izjavio da ne bi investirao 10 milijuna dolara kako bi izbjegao potencijalni gubitak od jednog milijuna. Politički motiv napada bio je izravno povezan s objavom filma “The Interview” u čijoj radnji CIA zapošljava dva novinara kako bi izvršili atentat na sjevernokorejskog vođu Kim Jong Una zbog čega je Sjeverna Koreja film proglasila činom rata i terorizma. Grupa Guardians of Peace (#GOP) iskoristila je ovaj motiv za destruktivnu fazu napada, iako su se početne ucjenjivačke e-poruke fokusirale na financijsku naknadu.

U forenzičkoj istrazi ovakvog opsega, od primarne je važnosti primjena rigoroznih postupaka prikupljanja tragova kako bi se osigurala pravna dopustivost dokaza. Digitalni tragovi su po svojoj prirodi krhki, stoga je svaki korak u rukovanju bio podložan strogim standardima.

Kada je 24.11.2014. postalo jasno da je mreža kompromitirana, prvi korak bio je prekidanje mrežnih veza i isključivanje VPN-a kako bi se spriječila daljnja eksfiltracija. Iz forenzičke perspektive, važno je napomenuti da isključivanje računala briše sadržaj radne memorije (RAM), što uništava dokaze o aktivnim procesima. Međutim, u slučaju destruktivnog “wiper” malwarea, isključivanje može biti jedini način da se spasi dio podataka s diska prije trajnog brisanja.

Akvizicija podataka uključivala je izradu forenzičkih slika tisuća računala i poslužitelja. Korišteni su alati poput FTK Imager i dd za izradu identičnih kopija medija za pohranu. Tijekom cijelog procesa održavan je lanac nadzora (Chain of Custody), dokumentirajući svaki pristup dokazu. Svaka forenzička slika verificirana je hash vrijednošću (SHA-256). Usporedba hash vrijednosti prije i nakon analize ključna je za dokazivanje integriteta jer bilo kakva promjena u vrijednosti kompromitira dokaz pred sudom.