+43 699 / 18199463
office@itexperst.at

Der große Sony Hack

Wer hätte geahnt, dass Sony’s Führungskräfte – die meisten weiß und männlich – mehr als 1 Million US-Dollar pro Jahr verdienen? Und ihre weiblichen Pendants viel weniger? Wer hätte geahnt, wie sehr SchauspielerInnen hinter den Kulissen verrissen werden und wie ungleich die Gehälter in Hollywood sind? Dass die Firma eine halbe Million US-Dollar für Abfindungen dieses Jahr ausgegeben hat? Vermutlich niemand – bis zu dem Hack, bei dem rund 40 Gigabyte an sensiblen Daten entwendet und veröffentlicht wurden. Vermutlich ist dies aber nur ein kleiner Bruchteil der gesamten gestohlenen Datenmenge.

Vor allem, nachdem auch die Veröffentlichung des umstrittenen Films „The Interview“ abgesagt wurde, wird der Hack zunehmend auch politisch. Obama kritisierte Sony für die Absage, da ausländische Diktatoren keinem amerikanischen Unternehmen etwas zu sagen hätten. Damit spielt er auf Nordkorea an, welches häufiger bereits des Angriffs beschuldigt wurde und jetzt ebenso mit Drohungen reagiert. Da der Film eine Komödie über ein geplantes Attentat auf den nordkoreanischen Führer Kim Jong-Un sein sollte, erscheint dies zunächst nicht sehr abwegig.

Die Beweise, dass die nordkoreanische Regierung tatsächlich hinter dem Cyber-Einbruch steckt, sind aber eher dünn gesät. Bisher hat sich die Gruppe Guardians of Peace (GOP) zu dem Vorfall bekannt. Einige Hinweise deuten darauf hin, dass diese nicht mit der nordkoreanischen Regierung unter einer Decke steckt. Zum Beispiel passt es nicht zu einer staatlich gesponserten Aktion, ein Skelett auf den infizierten Rechnern zu zeigen, selbst der Name Guardians of Peace passt nicht. Außerdem schelten staatliche Angreifer ihre Opfer selten für schwache Sicherheitsmaßnahmen, was vermeintliche Mitglieder von GOP aber in Medieninterviews taten.

Darüber hinaus veröffentlichten die Hacker die gestohlenen Daten auf Pastebin – dem inoffiziellen Cloud-Speicher für Hacker weltweit. Dort wurden die sensiblen Sony-Daten publiziert. Neben E-Mails von den Führungskräften, die persönliche Daten von ihren Kontakten enthielten, wurden auch Gehälter der Sony-Mitarbeiter, Sozialversicherungsnummern, medizinische Unterlagen und Computer-Passwörter veröffentlicht. Außerdem befanden sich Kopien von vier unveröffentlichten Filmen unter den Daten.

Für Sony ist der Hackereinbruch somit ein erneuter Datengau, nach dem Playstation-Netzwerk Hack 2012.

Bereits zuvor wurden Staaten schnell für diverse Attacken verantwortlich gemacht. Anonyme Quellen verrieten Bloomberg, dass Ermittler die russische Regierung des Hacks bei JP Morgan Chase verdächtigten. Als mögliches Motiv galt Vergeltung gegen die Sanktionen gegen den Kreml im Rahmen der Ukraine-Krise. Bloomberg zog die Anschuldigungen eventuell zurück und gab zu, dass Cyberkriminelle hinter der Attacke steckten.

Auch im Falle von Sony sind vermutlich Hacktivisten – oder verärgerte Insider – die Übeltäter, die an den Methoden der Firma Anstoß nahmen. In einem Interview gab ein GOP-Mitglied an, dass ihnen mindestens ein sympathischer Insider geholfen hätte und dass sie auf „Gleichberechtigung“ aus seien. Zwar sind die genauen Anschuldigungen der Gruppe noch unklar, aber sie werfen Sony habgierige und „kriminelle“ Geschäftspraktiken vor.

In der auf den infizierten Rechnern veröffentlichten Nachricht schreibt GOP, dass ihre Forderungen an Sony nicht erfüllt worden waren. Nun wurde bekannt, dass fünf Führungskräfte von Sony drei Tage vor dem Hack eine E-Mail mit einer Lösegeldforderung erhalten hatten. Diese wurde von einem Gmail-Konto versandt, unter dem Namen „Frank David“. Allerdings unterzeichneten hier nicht die Guardians of Peace, sondern God’sApstls. Der Name dieser Gruppe wurde auch in der Malware gefunden, die für den Angriff genutzt wurde.

Auch ist noch nicht klar, wann genau der Hack begann. Eines der GOP-Mitglieder gab in einem Interview an, dass die Gruppe bereits seit über einem Jahr Daten von Sony abgeschöpft hätte. Erst Ende November wurde der Hack dann entdeckt, nachdem auf den ersten Rechnern die Warnungen mit den Skeletten auftauchten. Auch die Twitter-Konten der Firma wurden von den Hackern übernommen. Dort posteten die Hacker ein Foto von Sonys CEO Michael Lynton in der Hölle.

Sony reagierte, indem es das weltweite Netzwerk der Firma komplett abschaltete und VPN- und WLAN-Verbindungen kappte. Seitdem arbeitet das Unternehmen mit dem FBI und Sicherheitsfirmen zusammen.

Vermutlich ist auch dieser Vorfall auf Phishing-E-Mails zurückzuführen. Einmal im Netzwerk, gelangten die Hacker an weitere Informationen über das Netzwerk selbst und an Administratorenrechte. Neben den persönlichen Daten der Mitarbeiter wurden auch Dateien mit hunderten von Zugangs-Kombinationen und Zertifikaten veröffentlicht. Außerdem finden sich Informationen über die Datenbanken und Server der Firma weltweit sowie Details über den Zugriff auf Produktionsserver. Dies verdeutlicht, weshalb Sony nach Bekanntwerden des Vorfalls seine komplette Infrastruktur abschalten musste.

Kommentar von SANS IT-Sicherheitsexperte James Murray:

From the wide range of data compromised, we may fairly conclude that Sony had not yet had the intent, design, time, or resources to apply the lessons that might have, should have, been taken from their own earlier breaches and those of others reported in 2014 but dating from months to years earlier.  The rest of us have little enough time to apply those lessons.  They include, but are not limited to, more compartmentation, true end to true end encryption on the enterprise network, fewer privileged users and more multi-party controls, more structured data stored only on enterprise servers, controls (Active Directory) to resist access and gratuitous copies, and timely egress and other anomaly detection and mitigation.  Only doing harder what we have been doing for decades will not serve.

Nun ist der Film „The Interview“ in den US-Kinos angelaufen und hat bereits 15 Millionen Dollar eingespielt. Für Sony ein kleines Trostpflaster. Zieht man die Kosten des PlayStation-Hacks von 2012 heran, so muss er Film noch einiges an Dollars einspielen, um auch nur einen Bruchteil des Schadens von damals, geschätzte 24 Mrd. Dollar, wieder gut zu machen.

Update zu Sony Hack, 07.01.2015

Nachdem Passworte gestohlen wurden, entdeckte man auch Malware, die mit Zertifikaten von Sony signiert worden waren. Nordkorea äußerte zu den Vorwürfen, etwas mit dem Sony-Angriff zu tun zu haben: Man sei an dem Angriff nicht beteiligt gewesen, beglückwünsche die Angreifer allerdings zu dem Coup.

Richtig peinlich für Sony ist die Veröffentlichung einer E-Mail von einem Manager-Kollegen in einer Mail an Amy Pascal, Vorsitzende von Sony Pictures. In der Nachricht, die von der Hackergruppe GOP (Guardians of Peace) veröffentlicht wurde, heißt es: Angelina Jolie ist eine „minimal talentierte, verwöhnte Göre“. Dass auch die Telefonnummer von Brad Pitt und Pseudonyme von Promis, wenn sie auf Reisen anonym bleiben wollen, veröffentlicht wurden, verwundert nicht mehr. Ein Auszug: Tom Hanks verwendet Hally Lauder und Johnny Madrid, Natalie Portman nutzt Lauren Brown.

Nachricht von fusion.net, 09.12.2014: Sony Pictures hack exposes Hollywood celebrities’ secret aliases

Siehe auch:

Artkel von eweek.com, 08.12.2014: Hacker Group Reportedly Threatens Sony Employees
Artikel von computerworld.com, 08.12.2014: Hackers contacted top Sony executives before attack
Artikel von csmonitor.com, 04.12.2014: Trove of Sony financial data, passwords, movies leaked online
Artikel von wired.com, 03.12.2014: Sony Got Hacked Hard: What We Know and Don’t Know So Far
Artikel von pcmag.com, 02.12.2014: FBI Warns U.S. Companies About Malware After Sony Hack
Artikel von arstechnica.com, 03.12.2014: Inside the “wiper” malware that brought Sony Pictures to its knees [Update]
Artikel von theregister.co.uk, 25.11.2014: Sony Pictures in IT lock-down after alleged hacker hosing
Artikel von nextgov.com, 24.11.2014: Sony Pictures Goes Offline to Hide from Hackers

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen