الكشف عن 6 مشتبه بهم باختراق أنظمة سوني وبينهم موظف سابق فيها

نشر في : 10:53 ص, 31 ديسمبر, 2014

بعد أن زعمت مصادر حكومية امريكية قبل عشرة أيام إن محقيين امريكيين توصلوا إلى ان كوريا الشمالية هي المسؤولة عن هجوم الكتروني على اجهزة كمبيوتر لشركة سوني كشفت شركة نورس وهي شركة حماية الأنظمة الإلكترونية التي كانت أول من اشتبه بتورط موظفين من داخل شركة سوني في عملية الاختراق التي حدثت في شهر نوفمبر، أنها وجدت أدلة تدين 6 مشتبه بهم في عملية الاختراق وأن أحدهم موظف سابق لدى شركة سوني ويتمتع بمعرفة شاملة بشبكة الشركة وأنظمتها وعملياتها. وأشار نائب رئيس شركة نورس أن اثنين من المشتبه بهم الستة في الولايات المتحدة وشخص في كندا وآخر في سنغافورة وواحد في تايلند بحسب موقع سيكيوريتي لدجر.

وكان موظف سوني السابق قد عمل لعشر سنوات في الشركة قبل تسريحه في شهر مايو ضمن إجراءات واسعة لإعادة هيكلة الشركة.

وقاد نورس فريق محققين من تسعة باحثين بدؤوا من فكرة أن أشخاصا من داخل الشركة هم أبرز المشتبه بهم بعملية الاختراق نظرا لمعرفتهم الواسعة بأنظمة الشركة بالنظر إلى حجم الاختراق الهائل الذي حصل في سرقة البيانات. وقامت الشركة بتحليل وثائق الموارد البشرية التي تم تسريبها في عملية الاختراق لدراسة الموظفين الذين يحتمل أن يكون لديهم دوافع للقيام بعملية الاختراق. وثبت أن معلومات الموارد البشرية هي النواة الذهبية في التحقيقات التي كشفت عمليات تسريح ضخمة في شركة سوني في ربيع العام 2014 مع وثيقة تضم أسماء من جرى تسريحهم من سوني بكتشرز في فترة ما بين شهري أبريل ومايو. وتبين في التحقيقات أن من أحد موظفي سوني الذين تم صرفهم يتمتع بمعلومات تقنية متخصصة. وجرى تعقب نشاط ذلك الموظف السابق على الإنترنت لتنكشف تعليقات له تنم عن غضب دفين لديه نتيجة تسريحه. وبعد الدخول في قنوات الدردشة IRC التي وطأها مع مواقع أخرى تمكن المحققون من كشف اتصالاته مع أشخاص آخرين مرتبطين بمجموعات هاكرز من مخترقي الأنظمة في أوروبا وفي آسيا.

ويشير كيرت ستامبرجر من شركة نورس أنه تم العثور على ارتباط بين شخص ضالع بمحادثات مع موظف سوني السابق على الإنترنت، مع نظام خادم استخدم فيه فيروس لإطلاق الهجمات ضد شركة سوني، بعد أن تم تصميم الفيروس في شهر يوليو 2014.

حرص ستامبرجر على الإشارة أن نتائج التحقيقات في شركته ليست نهائية وأنه أطلع مكتب التحقيقات الفيدرالي الأمريكي حول هذه النتائج فهم أصحاب التحقيق الأساسي وسنوضح لهم ما تشير إليه الأدلة التي قمنا بالعثور عليها، وهم سيقرروا ما هي الأدلة التي تتقبلها المحكمة كأدلة إثبات.

تسببت كمية المعلومات الهائلة في تسريبات شركة سوني في تقديم أدلة عديدة نتج عنها نظريات متضاربة حول مصدر الهجوم وكيفية حدوثه. ففي البداية ظهرت كلمات باللغة الكورية ضمن كود برمجة الفيروس الذي شق ثغرة في الأنظمة، كما أنه كان مشابها للفيروس الذي استخدم ضد شركة أرامكو السعودية. وكان هناك مقابل كل دليل يشير باتجاه تورط كوريا الشمالية في الهجوم أدلة أخرى تشير باتجاهات مختلفة.

ومثلا، ركزت بعض التحليلات الجنائية للبيانات المسربة على بصمة التاريخ والوقت في بيانات سوني لاستخلاص نتيجة وهي أن البيانات خضعت للنسخ من شبكة سوني إلى جهاز تخزين خارجي بمنفذ الناقل العام USB، فيما اشارت تحليلات أخرى إلى مؤشرات وعناوين وحسابات كشفت من خلال إصدار بيانات الجماعة التي أعلنت مسؤوليتها عن الهجوم وهي جارديان أوف بيس Guardians of Peace، والتي أظهرت أن من كتبها لا يتحدث اللغة الإنكليزية بطلاقة تامة بل أن لغته الأم هي الروسية .

لكن الخلاصة التي تقدمها شركة نورس تجيب على تساؤلات كانت محيرة وهي الدراية التامة التي تمتع بها مخترقو شركة سوني بانظمتها وشبكاتها فضلا عن القدرة على سرقة بيانات هائلة (تقدر بالتيرابايت) من شبكة سوني دون إثارة الشبهات حول عملية النسخ الكبيرة لتلك البيانات. وبالنظر إلى حجم البيانات الهائلة فإن ما تم تسريبه والقضايا المحددة التي أحرجت سوني تشير إلى أن من سرب البيانات يعرف ماهيتها و أين تكمن فيها المعلومات الحساسة لإحراج سوني فورا دون انتظار الإعلام للغوص في البيانات، وهو الأمر الذي قد يستغرق وقتا طويلا.

كما تفسر أدلة تورط موظف سوني السابق كيف عرف مخترقو أنظمة سوني تفاصيل شبكتها وأين يجري تخزين المعلومات الهامة بما في ذلك عناوين الإنترنت IP التي تعود لكل أنظمة الخادم التي تخزن معلومات هامة، فضلا عن معرفة كلمات المرور التي تفتح المجال للدخول لهذه الأنظمة، وهي معلومات تستغرق معرفتها أسابيع عديدة من قبل مخترقي الأنظمة الدخلاء. كما أن الفيروس الذي مهد للاختراق كان مصمما أصلا لمهاجمة أصول محددة مسبقا.