朝鲜真的黑客攻击了索尼吗？ - 彭博社

bloomberg

2014-12-04

朝鲜领导人金正恩（左）与中国副主席李克强（右）在2013年7月27日平壤金日成广场举行的军事阅兵上，庆祝朝鲜战争停战60周年。

埃德·琼斯/法新社/盖蒂图片社关于索尼遭受毁灭性黑客攻击的起源，有两种流行理论，这些理论都可以成为绝佳的电影情节：这是朝鲜对一部侮辱性塞斯·罗根电影的报复，或者是一个与黑客活动分子勾结的极度不满的前员工的内部工作。由于知名且备受尊敬的网络安全专家在这个问题上意见分歧，这是一部几乎刚刚过片尾的好莱坞大片。

各方一致认为，对索尼的网络攻击在其个人性质和恶意破坏范围上是前所未有的，这次攻击并不是为了让任何人获利或收集任何形式的企业或财务情报，而是专门为了羞辱和伤害一家特定的跨国公司——这是一桩真正巨大的犯罪。

索尼泄密事件的程度在首次袭击一周后仍在不断揭露，但到目前为止，该公司的损失涉及盗取和泄露11TB的数据，其中包括几部未发布的电影和大量内部公司文件。员工薪水和社会安全号码、敏感的电子邮件附件，甚至还有一份声称是关于公司工作条件的投诉清单。此外，本周向其联络警报系统电子邮件列表的订阅者发布的一份泄露的FBI备忘录（早前由路透社报道）表明，这次攻击还涉及能够破坏文件并使整个计算机系统永久损坏的恶意软件

“警报警告称，已识别出未知计算机网络利用（CNE）操作员使用的破坏性恶意软件。”该警报警告。“这种恶意软件能够覆盖受害者主机的主引导记录（MBR）和所有数据文件。覆盖数据文件将使得使用标准取证方法恢复数据变得极其困难且成本高昂，甚至不可能。”

备忘录还包括需要注意的计算机代码，暗示FBI担心索尼攻击的形式可能会被复制到其他实体。

“我们通常看到的是窃取信息的黑客攻击，但这是一种破坏——他们实际上摧毁文件——这非常罕见，”理查德·A·克拉克，前比尔·克林顿和乔治·W·布什总统的首席网络安全顾问说。“他们通过泄露尚未发布的电影并将其放到盗版市场来破坏收入。他们通过内部文件破坏索尼的声誉。这是一种非常聪明且具有破坏性的攻击。我不记得在美国见过这样的事情。”

克拉克的继任者之一，前奥巴马政府的网络安全沙皇霍华德·施密特同意，指出索尼攻击是在FBI被网络安全公司FireEye通知黑客正在针对企业首席财务官和其他参与并购的人士的电子邮件以获取市场动向情报的几天内被揭露的。本周，FBI还警告了针对美国医疗保健和能源基础设施的恶意软件攻击。“这是一个完美风暴，”施密特说。“这三件事情同时发生，这实在太多了，而且意义重大。”

到目前为止，索尼黑客事件有三名主要嫌疑人。一个名为和平守护者（Guardians of Peace，简称GOP）的团体通过Reddit帖子声称对此负责，但关于他们是谁或他们的动机的信息很少。科技网站Re/Code报道，周三索尼内部的两个消息来源告诉他们，该公司即将宣布他们认为北韩政府是此次泄露事件的幕后黑手，但索尼影业的一位发言人却告诉法新社，“对这起非常复杂的网络攻击的调查仍在继续。”第三名嫌疑人是一名不满的——并且技术能力出众的——前员工。

索尼已聘请Mandiant，一家网络取证公司，该公司曾确定中国政府在2013年对《纽约时报》的严重黑客攻击中负责*《纽约时报》*，以寻找泄露事件的来源。Mandiant（FireEye的子公司）和索尼都没有人可以发表评论。

北韩领导人金正恩因索尼电影《采访》而公开表示不满，该片定于本月上映；这是一部由罗根和詹姆斯·弗兰科主演的喜剧，讲述主角试图刺杀金正恩。今年早些时候，平壤曾致信联合国秘书长潘基文，称该电影是“赤裸裸的恐怖主义赞助，以及战争行为。”这个压迫性的政权还曾致信奥巴马政府，要求他们阻止该电影的上映。

尽管如此，对于许多人来说，朝鲜的联系似乎是牵强附会的。一个原因是：泄露的索尼电影DVD质量版本的名单中包括布拉德·皮特的战争片《狂怒》，翻拍的《安妮》，奥斯卡热门影片朱莉安·摩尔的《仍然爱丽丝》，以及一部英国传记剧《特纳先生》。而《采访》并不在其中。

汤米·斯蒂安森，Norse的首席技术官，这是一家网络安全社区依赖于历史网络攻击数据的主要黑客追踪公司，他告诉彭博政治，他计划将他所称的法医证据提交给索尼和FBI，证明此次攻击很可能来自与一名在日本被解雇的前索尼员工相关的IP地址，该员工在5月被解雇。

“人们谈论朝鲜的唯一原因是朝鲜对索尼发表了意见，”斯蒂安森说。“但朝鲜不会这么做。他们不会窃取其他所有电影却不去拿《采访》。我相信这是内部工作。这个名为‘和平守护者’的组织，没人听说过他们。我找不到关于他们的一点信息。我会说，如果我们找不到关于他们的任何信息，他们就不存在，并且他们肯定与任何特定政府没有关系。”

乔·基尼里，网络安全公司Galois的负责人，也是几位欧洲政府网络犯罪的关键调查员，他也表示他对朝鲜的想法“几乎没有信任”。如果这不是内部攻击，那将非常非常令人惊讶。通过你的网络泄露出这么多数据而没有注意到，这意味着索尼的安全团队简直无能。我非常怀疑这是内部人员所为，像斯诺登那样的人，填满一个USB磁盘然后带着它走出去。”

但是索尼攻击的巨大规模以及其可能的目标，使许多政府人士相信朝鲜是主要嫌疑犯。“从根本上说，他们制作了一部关于暗杀朝鲜总统的电影，”克拉克说。“他们会因此报复吗？哦，当然。金正恩会让那里的人去做点什么。他们已经展示了攻击韩国公司的能力。”

另一位坚定认为是朝鲜所为的专家是位于新罕布什尔州纳舒厄的网络安全公司SnoopWall的首席执行官加里·米利夫斯基，他过去曾与朝鲜攻击作斗争。他还指出，朝鲜一直是日本的历史对手，并会乐于有机会破坏一家顶级日本公司。“他们拥有世界上最先进的网络军队之一，”米利夫斯基说。“他们招募了3000到6000名网络战士。他们唯一的工作就是创建恶意软件并推进金正恩的议程。”

施密特承认他不确定谁是对的，但对Re/Code的报告也持谨慎态度，仅仅因为索尼的泄露事件是如此新，“我不知道是否有人能明确知道是谁做的。这将非常非常困难，即使在几周或几个月后也很难证明。”

好莱坞的竞争制片厂似乎特别关注这样的泄露事件，但他们对朝鲜的说法也表示怀疑。一位竞争制片厂的高管指出，索尼的电影部门最近遭遇了困境，裁员潮不断。该高管表示，索尼在过去一年或更长时间里一直受到困扰，并补充说，新版《蜘蛛侠》的表现没有达到索尼的期望，管理层也发生了重大变化。他表示，员工和前员工有很多理由感到愤怒。

即使罪犯真的被证明是北朝鲜，许多人仍然怀疑会有严重的后果。“会发生什么？什么都不会，”克拉克说。“到目前为止，美国政府的政策是，当一家私营公司受到外国国家的攻击时，美国政府不会报复。它从来没有这样做过，我认为它不会因为索尼而这样做。我的意思是，当伊朗人攻击美国最大的银行时，美国政府并没有报复。”

这并不意味着政府没有在关注，施密特说，他的合伙人是前国土安全部部长汤姆·里奇。在他担任白宫期间发生类似泄露事件时，施密特表示，曾有总统简报和在危机室的讨论，讨论是否会有进一步的攻击。“他们正在联系这些公司，询问他们能与我们分享什么。”

但政府与企业之间的关系，如果说有什么的话，比主权国家之间的关系更复杂和棘手。美国商会强烈反对2012年一项法案，该法案将创建一个系统，允许公司自愿向联邦当局报告网络犯罪活动，并给予公司免于诉讼的保护。商会反对联邦干预和“政府强制措施”的产生。

“故事是外国政府正在攻击美国公司，而美国政府在观察并对此无动于衷，因为美国公司表示他们不希望政府对此采取任何行动，”克拉克说。商会“认为美国政府根本不应该介入，然后当他们受到攻击时，他们又请求山姆大叔来拯救他们。当银行遭遇数字拒绝服务攻击时，他们都去找政府，‘救救我们！救救我们！’”

周三，商会发言人指出，近年来其支持多种努力以建立国家网络安全标准。然而，即使在一封给彭博政治的信中，来自联邦国家标准与技术研究所，商会副总裁安·M·博肖斯恩写道：“信息共享讨论对改善政府与企业之间的共享重视不足。商会希望扩大政府与企业之间的信息共享，这一进展正在进行中，但需要改进。”

解决友军误伤问题可能是应对威胁的第一步。

更正：在此故事的早期版本中，第17段中霍华德·施密特的引用应包含“明确”的词，而不是“肯定”，第18段中一位制片执行官的评论应提及管理，而不是市场营销的变化。此外，在第三段中，应将路透社归功于对FBI备忘录的早期报道。