Понедельник, 24 ноября 2014 года. 9 утра, офис Sony Pictures в Лос-Анджелесе. Сотрудники включают компьютеры — и вместо рабочего стола видят на красном фоне скалящийся череп. Надпись: «Мы предупреждали вас. Мы выполнили обещание. Скоро наступит самое страшное».

Айтишники бегут по коридорам, крича одно: «Выключайте всё. Прямо сейчас. Всё». Сотрудники выдёргивают провода питания. Кто-то ещё не понял, что происходит, и пытается сохранить файл — поздно.

Пока люди носятся по офису, в интернете начинают появляться первые файлы. Группировка, назвавшая себя Guardians of Peace, методично сливает всё, что нашла внутри Sony Pictures за год незаметного присутствия в корпоративной сети.

За следующие несколько недель мир увидит всё. Буквально всё.

ЧТО УТЕКЛО

// СОТРУДНИКИ
47 000 личных дел
// ДАННЫЕ
Номера соцстрахования, паспорта, зарплаты
// ФИЛЬМЫ
5 невышедших картин в торрентах
// ПЕРЕПИСКА
Тысячи писем топ-менеджеров
// ФИНАНСЫ
Бюджеты всех фильмов, планы на 10 лет
// ОБЪЁМ
100 терабайт данных

Письма оказались особенно разрушительными. Сопродюсер Эми Паскаль в переписке с коллегами шутила о расовых предпочтениях президента Обамы. Исполнительный директор обсуждал гонорары актёров в выражениях, которые немедленно стали заголовками. Частная переписка, написанная без оглядки на публику, вышла наружу — и карьеры полетели под откос.

Фильмы «Анни», «Уиджа», «Пылающий», «Всё ещё Элис» появились на торрент-трекерах за недели до премьеры. Для киноиндустрии, где первый уикенд в прокате определяет судьбу картины, это катастрофа.

КАК ОНИ ПОПАЛИ ВНУТРЬ

// СХЕМА АТАКИ НА SONY PICTURES
СЕНТЯБРЬ 2013
Первоначальное проникновение
За 14 месяцев до активной фазы. Предположительно — через фишинговое письмо или уязвимость в веб-приложении. Хакеры получили первоначальный доступ и затаились.
initial access → low and slow recon
2013–2014
Слабые пароли — ключ ко всему
Пароль администратора сервера: sony123. Корневой пароль Oracle: admin. RDP открыт на все машины без ограничений. Хакеры получили доступ к Active Directory и оттуда — ко всей инфраструктуре.
password: sony123 → AD → full domain control
2013–2014
Год тихой кражи данных
Имея полный доступ, хакеры методично копировали данные. 100 терабайт — это не скачать за ночь. Кража шла месяцами, небольшими порциями, не привлекая внимания.
exfiltration: ~100 TB over 12+ months
24 НОЯБРЯ 2014
Активация — червь Shamoon
По команде запускается модифицированный Shamoon — тот же тип вайпера, что атаковал Saudi Aramco в 2012. Он стирает MBR на 3 062 компьютерах и 837 серверах. Одновременно.
Shamoon → MBR wipe → 3,062 PCs + 837 servers

«ИНТЕРВЬЮ» — КОГДА ХАКЕРЫ ДИКТУЮТ КУЛЬТУРУ

В центре всей операции стоял один фильм. «Интервью» — комедия с Сетом Рогеном и Джеймсом Франко, где двое журналистов по заданию ЦРУ отправляются убивать Ким Чен Ына. Пхеньян назвал фильм «актом терроризма» ещё до его выхода.

11 декабря 2014 года Guardians of Peace опубликовали угрозу: тем, кто придёт на премьеру «Интервью», грозит теракт. Конкретные кинотеатры не были названы. Угроза была расплывчатой. Но она сработала.

Крупнейшие сети кинотеатров США — Regal, AMC, Cinemark — одна за другой отказались показывать фильм. Sony Pictures объявила об отмене премьеры.

«Хакеры не просто украли данные. Они заставили одну из крупнейших корпораций мира отменить художественный фильм. Это беспрецедентно.»

— Президент США Барак Обама, пресс-конференция, декабрь 2014

Обама публично осудил решение Sony. Под давлением критики компания передумала: фильм вышел ограниченным тиражом в независимых кинотеатрах и на YouTube. Кассовые сборы — $30 млн. Но прецедент был создан: группа хакеров впервые в истории добилась цензуры крупного голливудского релиза.

ХРОНОЛОГИЯ

Сентябрь 2013
Хакеры внутри — никто не знает
Lazarus Group проникает в сеть Sony Pictures. Начинается многомесячная разведка и кража данных. Системы мониторинга молчат.
24 ноября 2014
День X — активация
Skulls на экранах. Одновременный вайп тысяч машин. Начало публикации украденных данных. Офис парализован.
Ноябрь–декабрь 2014
Волны утечек
Каждые несколько дней — новая порция данных. Зарплаты, письма, сценарии, медицинские карты сотрудников. Пресса не успевает обрабатывать поток.
11 декабря 2014
Угроза терактом на премьере
Кинотеатры отказываются показывать «Интервью». Sony отменяет премьеру. Хакеры достигли политического результата.
19 декабря 2014
ФБР официально обвиняет КНДР
Первый в истории случай официального обвинения государства в атаке на частную корпорацию. Обама вводит новые санкции против Северной Кореи.
25 декабря 2014
«Интервью» всё же выходит
Ограниченный прокат в независимых кинотеатрах + YouTube/Google Play. $30 млн сборов. Ким Чен Ын проигрывает раунд.

ЦЕНА АТАКИ

// УЩЕРБ SONY PICTURES
IT-восстановление
$35 млн
Упущенные сборы
$25 млн
Судебные иски сотрудников
~$15 млн
Репутационный ущерб
неизмеримо
ИТОГО (оценка)
$100+ млн