setMFT y afset, el malware que ayudó a robar The Interview a Sony

Share this…

Nuevas pruebas sobre el ataque informático a Sony Pictures han arrojado nueva luz sobre las herramientas que se utilizaron. Hoy hemos conocido dos de ellas.

¿Recuerdas el hack que expuso la base de datos de Sony Pictures? ¿El que resultó en miles de correos electrónicos filtrados en la red? Pues se están conociendo más detalles de dicho ataque un año después de que este tristemente célebre ataque se produjese.

Vamos a recapitular un poco… No se sabe exactamente cuánto tiempo estuvo Sony Pictures sufriendo el ataque, aunque se especula con que se produjese durante más de un año antes de que se descubriese en noviembre de 2014. Los hackers decían haberse llevado más de 100 terabytes de datos de Sony, y después de abrir brecha implementaron Wipe, un malware que borra datos de los servidores sin dejar rastro.

Se especuló con que el ataque se hubiese producido por culpa de la película The Interview, en la que dos periodistas estadounidenses se infiltraban en Corea del Norte para asesinar al presidente y líder de la nación, Kim Jong-Un, a petición de la CIA.

Al principio no había pruebas públicas que identificasen a los hackers que estuviesen tras el ataque. El gobierno estadounidense acusó directamente a Corea del Norte del ataque, pero no se encontraron pruebas. En cualquier caso, la industria de Hollywood quedó en entredicho tras estos ataques, ya que al final se retrasó el estreno en cine de la película.

El retraso de The Interview se retrasó por estos ataquesEl retraso de The Interview se retrasó por estos ataques / Travis Wise editada con licencia CC 2.0

Los responsables del ataque construyeron una coartada virtual casi perfecta, hasta que alguien la reventó. Al final resultó que Guardians Of Peace —el supuesto grupo hacker norcoreano— resultó no ser tal. Tal y como ya comentamos en estas mismas páginas, el autor intelectual del ataque fue una ex-empleada buscando venganza.

Nuevas evidencias del ataque a Sony Pictures

Según se ha recogido en The Register, dos investigadores de la empresa Damballa han encontrado pruebas de las herramientas usadas por los hackers para evitar que se los detectase mientras intentaban abrir una brecha en la seguridad de los servidores de Sony Pictures. Una de ellas es una conocida como setMFT, que puede ser usada por un hacker para hacer algo llamado timestomping, lo que cambia las fechas asociadas a los archivos y evita que aparezcan ante investigadores que busquen pruebas de un ataque.

Otra herramienta que se descubrió fue la que se conoce como afset, que también se utiliza para hacer timestomping y que también intenta ocultar pruebas de un hack a los encargados de la seguridad informática. Los investigadores de Damballa han comentado que la herramienta “no funcionaba completamente, de forma que no ocultaba todos los archivos que debía”.

De momento estas han sido las dos herramientas que se han encontrado mediante el análisis forense del ataque, pero debería salir mucho más a la luz conforme la investigación avance.

Fuente:https://www.malavida.com/