Sony werd in november niet gehackt door Noord-Korea, maar door een Russische groep. De hackers hebben misschien nog steeds toegang tot de Sony-systemen en werken mogelijk wel in opdracht van de Noord-Koreaanse overheid.

Dat meldt (pdf) het Amerikaanse beveiligingsbedrijf Taia Global dat werkt voor diverse multinationals en overheden.

Het bedrijf heeft contact gehad met de Russische hacker Yama Tough die vast heeft gezeten en verantwoordelijk is voor hacks bij onder meer Symantec.

Tough had op zijn beurt weer contact met een anonieme hacker die onderdeel is van een Russische hackersgroep die zegt verantwoordelijk te zijn voor de cyberaanval. De anonieme Rus zou ook gewerkt hebben voor Russische veiligheidsdiensten.

Op basis van documenten die aan Taia Global zijn verstrekt, concludeert het bedrijf dat Sony in november inderdaad gehackt is door de Russische hackers. De Verenigde Staten (VS) wezen de afgelopen maanden meerdere keren naar Noord-Korea als verantwoordelijke.

Bij de hack op Sony Pictures Entertainment werden gevoelige documenten gestolen en online gezet. Zo werden filmscripts en e-mailverkeer gepubliceerd. De hack was naar verluidt een protest tegen de film The Interview waarin de Noord-Koreaanse leider Kim Jong-un wordt vermoord.

Werkwijze

De aanval zou qua werkwijze overeenkomen met een eerdere cyberaanval vanuit de Noord-Koreaanse overheid. Taia Global stelt nu dat de Russische hackers mogelijk in opdracht van het land hebben gewerkt.

De groep wist bij Sony binnen te dringen via phishing-mails met malware erin. Als die eenmaal geïnstalleerd was konden de eigenschappen op afstand worden aangepast.

De mails waren gericht op medewerkers in Rusland, India en andere Aziatische landen. Vervolgens werd de malware zo aangepast dat het ook computers in het hoofdkantoor in de VS kon besmetten.

Documenten

Opmerkelijk is dat de documenten die de Russische hacker heeft gegeven afkomstig zijn uit de periode november 2014 tot en met januari 2015. Dat betekent dat de hackers lange tijd toegang hadden tot de systemen en dat misschien nog steeds hebben.

De documenten waren nog niet eerder gepubliceerd en zijn volgens Taia Global door de auteur als authentiek verklaard. 

Schade

Sony maakte woensdag bekend dat het vanwege de cyberaanval direct 13,1 miljoen euro schade heeft geleden. Die kosten worden gereserveerd voor het onderzoek naar de hack en het herstellen van computers en infrastructuur. Indirecte kosten zoals imagoschade zijn nog niet meegenomen.