Sony a été victime d’un piratage en 2014. L’affaire avait été extrêmement médiatisée et ce n’est pas surprenant car cette attaque avait coûté très cher à la firme nippone. De nombreuses informations sensibles avaient effectivement été divulguées, des informations portant sur les productions de Sony Pictures Entertainment mais aussi sur le Xperia Z5. Les responsables ont enfin été identifiés, ou presque.
Cette attaque de grande envergure avait fait la une de tous les sites spécialisés, certes, mais également des médias traditionnels.
Les hackers responsables de l’attaque contre Sony ont presque été identifiés.
Les hackers n’avaient pas fait les choses à moitié d’ailleurs puisqu’ils avaient divulgué de nombreuses informations confidentielles portant sur la marque, ses projets et ses employés.
Un groupe spécial a été constitué pour retrouver les responsables de l’attaque
Face à la situation, plusieurs entreprises travaillant dans le domaine de la cybersécurité ont monté un groupe d’experts afin de mener une enquête approfondie. Des entreprises telles que Novetta, Kaspersky Lab ou encore AlienVault Labs.
L’opération BlockBuster a débuté à la fin de l’année 2014.
En fouinant sur le web et sur le darknet, ses membres ont déterminé que le groupe de pirate à l’origine de l’attaque, les “Gardiens de la Paix”, n’en était pas à son coup d’essai. Il aurait notamment participé à l’attaque DarkSeoul qui a visé trois chaînes de télévision et deux banques sud-coréennes en 2013.
Mieux, il se cacherait également derrière l’opération Troy qui visait à implanter des chevaux de Troie dans les serveurs utilisés par les forces militaires de plusieurs pays, à commencer par… la Corée du Sud.
Si les experts sont parvenus à établir un lien entre le groupe de hackers et ces différentes opérations, c’est avant tout grâce aux programmes utilisés dans l’attaque.
Pour faire tomber les défenses de leurs ennemis, les hackers ont effectivement utilisé plusieurs virus et plusieurs malwares de leur cru mais ces outils partageaient certains scripts, certaines fonctions.
Les hackers ont utilisé le même mot de passe pour protéger les archives de leurs virus
Les hackers ont effectivement utilisé des fragments de code identique d’un programme à l’autre pour gagner du temps.
Mais ce n’est pas le plus ironique. Tous ces programmes étaient contenus dans des archives protégées… par le même mot de passe. Il faut avouer que c’est assez surprenant pour des hackers de cet acabit.
L’opération BlockBuster n’a pas (encore) permis d’identifier les membres du groupe, mais on en sait un peu plus sur sa localisation. En s’appuyant sur les heures des différentes attaques du groupe, les experts en sécurité sont parvenus à déterminer leur fuseau horaire.
Il s’agit de celui de l’Asie de l’Est qui regroupe des pays comme la Chine, les Philippines ou encore la Corée.
Ils ont aussi remarqué que les hackers étaient nettement moins actifs depuis quelques mois et ils pensent donc qu’ils ont entendu parler de leur opération.
Une chose est sûre en tout cas, c’est bien la première fois que plusieurs entreprises du secteur se liguent pour lutter contre le cyberterrorisme.