A Sony Pictures foi invadida em novembro e, desde então, hackers começaram a distribuir 100 TB de dados confidenciais da empresa, incluindo senhas cruciais guardadas em uma pasta chamada “Password”. Agora, estão aparecendo os primeiros detalhes de como esse vazamento aconteceu.

>>> A invasão à Sony Pictures foi bem pior do que todos imaginávamos

Uma fonte diz à Bloomberg que, na madrugada de 2 de dezembro, hackers começaram a vazar dados confidenciais da Sony na internet usando a rede do luxuoso hotel St. Regis Bangkok, na Tailândia.

Eles podem ter feito isso no próprio hotel – em um quarto ou área pública – ou até mesmo remotamente, escondidos em uma rede movimentada e disponível a centenas de hóspedes.

Por sua vez, em uma universidade na Tailândia, foi localizado um IP usado pelo malware para se comunicar com os hackers. Além disso, a Symantec diz que pelo menos um servidor de comando e controle na Bolívia foi usada no ataque da Sony Pictures.

Coreia do Norte

Mas quem é o responsável? Por enquanto, especialistas em segurança apontam o dedo para a Coreia do Norte: “muitos dizem que o episódio carrega as marcas da DarkSeoul, um grupo de hackers com suspeita de ligações à Coreia do Norte que atacou bancos e empresas de mídia sul-coreanas em 2013”, de acordo com a Bloomberg.

Por exemplo, o malware que invadiu a Sony Pictures tem componentes que apagam discos rígidos ou realizam ataques DDoS obstruindo sites com tráfego falso – mesmo caso do DarkSeoul. Também há muitas semelhanças no código do malware, a ponto de a Symantec dizer: “tem que ser as mesmas pessoas”.

A Coreia do Norte negou qualquer envolvimento no caso da Sony Pictures, mas divulgou um comunicado dizendo que o ataque “pode ser um ato justificado” de seus partidários ou simpatizantes. O país tem uma enorme rede de até 5.900 hackers espalhados pelo mundo, segundo a Bloomberg.

Há a teoria de que o ataque foi uma vingança da Coreia do Norte pelo filme A Entrevista, que estrela Seth Rogen e James Franco como dois agentes que planejam matar o líder Kim Jong Un. No entanto, especialistas em segurança dizem que esse motivo é improvável.

“Sem precedentes”

Mas está claro que o malware foi feito especialmente para atacar a Sony Pictures: quando é executado, ele tenta se conectar a hosts dentro da rede da Sony, indicando que foi adaptado para a empresa.

A empresa de segurança Mandiant está investigando o incidente. Em um memorando interno para funcionários da Sony Pictures, obtido pelo Re/code, Kevin Mandia diz que “este foi um crime sem precedentes”:

Este tipo de ataque não tem precedentes. O malware é indetectável por software antivírus padrão da indústria, e foi prejudicial e original o suficiente para fazer com que o FBI emitisse um alerta para advertir outras organizações desta ameaça crítica.

Na verdade, o escopo deste ataque é diferente de qualquer outro que analisamos no passado, pois seu objetivo era destruir bens e ainda liberar informações confidenciais ao público. Em resumo, este foi um crime sem precedentes e bem planejado, realizado por um grupo organizado, para o qual nem a Sony Pictures nem outras empresas poderiam estar totalmente preparadas.

Mas eles podiam, no mínimo, não guardar senhas sem criptografia em uma pasta “Password”, né?

E este não é o primeiro grande ataque à Sony Pictures. Em 2011, o grupo hacker Lulz Security vazou um milhão de contas do estúdio, “incluindo senhas, endereço de e-mail, endereço de residência, data de nascimento e todas as informações associadas às contas”.

Infelizmente, parece que o descuido com segurança estava na cultura da empresa. Em 2007, Jason Spaltro – na época diretor-executivo de segurança da informação – disse em entrevista que não se preocupava excessivamente em proteger a rede da Sony Pictures; por exemplo, ele não investiria US$ 10 milhões para se proteger de um possível prejuízo de US$ 1 milhão.

Desde então, Spaltro subiu de cargo e hoje é vice-presidente sênior de segurança da informação, ganhando US$ 300.000 por ano (mais US$ 100.000 de bônus). Ele comanda uma equipe de 11 pessoas; a Sony Pictures lista mais de 7.000 funcionários. [Bloomberg; Re/code]