أغلبنا سمع وشاهد عدة تقارير على شاشة التلفاز حول عملية الأختراق الآخيرة التى حدثت لشركة سوني والتى يعتقد بأن من قام بها هم قراصنة من كوريا الشمالية كون التهديدات التى وصلت بعد الاختراق كما سوف نرى لاحقا تطلب وبين قوسين (تأمر) الشركة بإيقاف عرض فلم The Interview الذي يستهزئ بالرئيس الكوري الشمالي وما سمعناه من تقارير وأخبار يمثل واحد بالمئة من العملية الكاملة التى لم يعرف بعد ما أبعادها كاملةً لنسمع القصة كاملة.
قبل الخوض في الآلية التى تم الأختراق من خلال لها لنتعرف أولا على حجم الأضرار العامة التى تسبب بها القراصنة نتيجة هذه العملية المؤلمة على أن نفصل فيما بعد اكثر فيما تم تسريبه من الشركة والذي بجد يعتبر مصيبة في حق الشركة.
- أكبر عملية قرصنة حدثت ربما في السنوات العشرة الآخيرة.
- 77 مليون أيميل أنسرق.
- 25 مليون حساب لمستخدمي سوني اتهكر.
- 10700 لبطاقات الخصم .
- 12700 بطاقة أئتمان.
- مراسلات سرية بين الموظفين تظهر عنصرية البعض.
- سيناريوهات لأفلام سوف تصور قريبا ومن بينها فلم جيمس بوند.
- خمس أفلام كان من المفترض أن يبدأ عرضها تسربت مثل Annie, Mr Turner, To Write Love On Her Arms
- أنخفاض أسهم بورصة سوني بنسبة 6,6 بالمئة.
- خسائر مبدئية تقدر بي 100 مليون دولار.
- و آخيراً سوني تعلن إيقاف عرض الفلم أو تأجيله…
في الثالث والعشرين من نوفمبر ظهرت صورة على أجهزة العاملين في شركة سوني تخبرهم بعملية الأختراق وتتوعدهم بنشر الكثير من المفأجاة في الـ24 من نوفمبر.
في أول تسريب قام به المخترقون الذين أطلقوا على أنفسهم أسم Guardians Of Peace أو فرسان السلام في واحد ديسمبر/كانون الأول, تم نشر 26 غيغا من البيانات وكانت على النحو الآتي
أمثلة على محتويات الملفات المسربة من ملف خاص بقسم الـ HR كان يحتوي على 402 موظف مع أرقام الضمان الاجتماعي وعناوين البريد الإلكتروني الداخلية، وكلمات السر الغير مشفرة.
بالأضافة إلى 3000 أسم مع تفاصيل الاتصال، وأرقام الهاتف، وتواريخ الميلاد، وعناوين البريد الإلكتروني، واستحقاقات العمل والعمال تفاصيل التعويض، وخطط التقاعد وإنهاء الخدمة والموظفين السابقين, تاريخ العمل والمرتبات التنفيذية والخطط الطبية وخطط طب الأسنان والأجناس، تعريفات الموظفين، وتقارير المبيعات، ونسخ من معلومات جواز السفر وإيصالات السفر، فضلا عن تفاصيل الأموال المدفوعة لشراء تذاكر السينما لبيعها إلى موظفي سوني. والكثير من الوثائق وأيصالات الدفع الخاصة بالزبائن…
وفي الرابع من ديسمبر تم نشر هذه الصورة المأخوذة من سيرفر الشركة لملف أطلق عليه Password وفيه كل المصائب التى تم نشرها في اليوم السابق.
وبالفعل نفذ المخترقون وعدهم ونشروا التسريب الثالث الذي يخص شركة سوني في البرازيل ومحتوياته كانت على النحو الآتي
الحقيقة التسريبات التى حدثت كثيـــــــــــرة جداً وربما المقال سوف يطول كثيراً ونحن نتحدث عنها وسوف أضع بعض الصور لما نشر حتى ننتهي بسرعة.
صورة البريد الخاص بي Amy Pascal رئيسة مجلس أدارة سوني وما وجد فيه أعتقد كافي لتدمير مستقبل الشركة لكون المحتوى الموجود فيه يتحدث عن مشاريع وتعاقدات وأتفاقيات مستقبلية تخص الشركة.
الصورة لملف تورنت نشر في العاشر من ديسمبر/ كانون الأول تحوي أبحاث ومشاريع وخطط مالية ومستقبلية وكاميرات سوني جديدة وأطنان من الداتا الخاصة بالعملاء والموظفين.
في التاسع عشر من ديسمبر أرسل المخترقون رسالتهم الآخيرة من عشرات الرسائل التى تم ارسالها للشركة تخبرهم بأنهم اكتفوا الآن بما نشروه وحذروهم بشكل غير مباشر بمجرد التفكير في نشر الفلم الخاص بالرئيس الكوري وهذا نص الرسالة
بحسب بعض المصادر فالأختراق لم يكن في الآونة الآخيرة بل من فترة طويلة قد تعود إلى عام 2013 وخلال هذه الفترة كان المخترقون على تواصل كامل مع سيرفرات سوني وتحديداً سيرفرات أمريكا وتايلند وبولندا وايطاليا وبوليفيا وسنغافورة وقبرص وقد أختاروا هذا الوقت تزامناً مع أقتراب موعد خروج الفلم The Interview لكي يلعبوا لعبتهم. في الصورة القادمة سوف نرى الأيبيات المصابة (الخاصة بالسيرفرات) مع أسماء البرامج المزروعة فيها.
بالحديث عن آلية الاختراق التى حدثت فالتقارير كثيرة ومتضاربة لكن أهمها كان التقرير الذي نشره موقع US-cert الأمريكي والذي لم يذكر فيه أسم شركة سوني بالحرف وأكتفى بالقول major entertainment company تم من خلال دودة أطلق عليها SMB Worm Tool أستهدفت أنظمة مايكروسوفت وتحديداً الـ SMB أو Server Message Block المسؤول عن عملية مشاركة الملفات على الشبكة.
SMB Worm Tool: تعتمد هذه الدودة على الـ brute force authentication attack وهذا النوع من الهجوم معروف للخبراء الأمنيين على أنه هجوم يقوم بتجربة كل الأحتمالات الممكنة لمعرفة كلمة السر مثل أن يبدأ تجربة كلمات سر معروفة Password, admin123, 123456 الخ… أو يبدا التجربة أنطلاقا من الصفر إلى أن يصل لكلمة السر المطلوبة للولوج إلى الجهاز وبالتالي السيطرة عليه, آلية السيطرة على الجهاز تتطلب معرفة أسم المستخدم وكلمة السر كما تحدثنا مسبقاً يليها أنشاء ملف مشاركة يحوي الـ CMD مع أعطاءه صلاحيات كاملة create a new share “cmd.exe /q /c net share shared$=%SystemRoot% /GRANT:everyone, FULL” ليلها مباشرة رفع أدوات التحكم بالجهاز والسيطرة عليه وبعدها يتم حذف الملف المشير CMD حتى لايشعر أي أحد بشيئ.
ومن محتوياته نجد أنها قادرة على فتح أتصال وتأمين مدخل للمخترقين فبمجرد ما أن تدخل الجهاز حتى تبدأ الأنتشار وتثبيت نفسها وتفتح منافذ لهم وما أستغربته أيضاً قدرته على الوصول إلى الروترات وعمل port mappings لو في حال كانت الشبكة تعمل من خلال NAT, ونجد من بين الأداوت الـ Proxy tools التى تؤمن نقل الملفات وتنفيذ الأوامر ومراقبة الجهاز والعمليات اتلى تحدث عليه كما نجد أيضا أداة مخصصة لتدمير الهاردات ومسح محتوياته بلا رجعة واداة لمسح وتنظيف كل ما يمكن تسجيله ومراقبته logs Message.
الحقيقة وجدت نفسي تائه وأنا اقرا في آلية الأختراق فالدودة معقدة جداً وتم تطويرها بدقة عالية لكي تنفذ مخطط كامل يبدأ بأشياء بسيطة وينتهي بأمور معقدة وطبعا بدوري أحي العقول التى تفكر وتبتكر وأن كان الأمر تخريبي ودمر شركة عريقة مثل سوني إلا أن الأمر جيد لكي يعتبر الجميع فشركة مثل jpmorgan أحد أكبر البنوك في أمريكا والتى تنفق 250 مليون دولار على الامن والحماية تم أختراقها ايضاً من عدة أشهر وسرقة ملايين الملفات منها وهذه قصة آخرى قد نتحدث عنها في المستقبل.
الخلاصة: الأخترق تم بطريقة روتينية, وصلوا لأحد الاجهزة المصابة ومن خلاله وبأستخدام الـ brute force authentication attack تضخم الأمر وتمكنوا من سيرفرات وباقي أجهزة الشركة ونقلوا بحسب بعض التقارير أكثر من تيرا بايت من البيانات الحساسة إلى أجهزتهم وبعدها مسحوا الهاردات جميعها وقضوا على كل الآثار التى يمكن أن تكتشفهم وأزيدكم من البيت شعراً, قد يكون الأختراق والأدوات التى أستخدمت ليست إلا واجهة للتغطية على أحد الموظفين المشاركين من داخل شركة سوني في عملية الأختراق وهذا ما أشارت له بعض التقارير أيضاً.
المقال لازال مفتوحاً للتعديل فعندما باشرت البارحة الكتابة عن العملية تصورت بأن سوف أكتب خطوط عريضة عن الأختراق ووجدت أمامي أهوال وكوارث حدثت مع الشركة ولأني وعدت المتابعين بنشر القصة كاملة اليوم لم يسعفني الوقت لكي أحلل أكثر في آلية الأختراق وسوف أضع لكم المصادر الرئيسية التى أعتمدت عليها في كتابة المقال وهي المصدر الأول, الثاني, الثالث على أن يتم التعديل على المقال في حال توفر صورة أوضح لعملية الأختراق.
وآخيرا كل ماذكر عن التسريبات هو أشياء معلنة فقط عدا عن الغير معلن وأعتقد بأنه أسوء بكثير وخصوصاً ان الشركة نفذت كل ما طلبه الهكر منهم كون وجود بعض التقارير التى تتحدث عن أسرار شخصية لمسئولين كبار في الشركة ولممثلين معروفين وتحدثت عن علاقة بين الممثلة انجولينا جولي وليوناردوا ديكابيروا, ما نلاحظه أولاً القوة التدميرية التى تزداد يوماً بعد يوم للهكر والمخترقين والذين أثبتوا لنا أنه بالفعل لا يوجد نظام أمني مهما عظمت قوته ومتانته أن يكون محمي تماماً فدائما يوجد ثغرات وأذكر في أحد المرات طلب مني مدير أحد الشركات وضع السيرفر الخاص بشركته على الأنترنت لكي يتمكن هو وموظفيه من الدخول إليه متى أرادوا بأستخدام الـ Remote Desktop بالأضافة إلى أمكانية الوصول إلى الـ Web Server الخاص باحد برامج الحسابات, قمت بتحذيره بأن هذا الامر خطير وغير جيد حتى مع وجود مضاد فايروسات قوي لكن لم يستجب لي وأتبعت معه قاعدة “أربط الحمار في المكان الذي يريده صاحبه” فوضعت أيبي السيرفر في الـ DMZ الساعة التاسعة والنصف مساءاً. في اليوم التالي أتصلوا بي السيرفر لا يعمل, بعد البحث والتقصي وبدقائق أكتشفت أكثر من 15 فايروس و ديدان تم إدخالها إلى السيرفر وأخترقته بشكل كامل والأمر تم في الساعة 2,38 أي بعد خمس ساعات فقط من وضعه على النت وهذا أن كان يدل فهو يدل على أننا جميعنا مهددون بالأختراق مالم نتابع أجهزتنا عن قرب وخصوصاً ان السيرفر الذي وضعته أخترق بشكل عشوائي من خلال عملية Scan تحدث لحظيا لكل الاجهزة والأيبيات الموجودة في العالم, اتمنى أن تكونوا قد أستفدتوا من هذه التغطية المطولة قليلاً ولا تنسونا من دعواتكم ودمتم بود.