# Sony Pictures Hack > [!danger] Lazarus Group destruiu 70% da infraestrutura da Sony - crise diplomatica EUA-DPRK > Em novembro de 2014, o [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) executou um dos ataques corporativos mais destrutivos da historia: após meses de presenca silenciosa na rede da Sony Pictures Entertainment, o grupo exfiltrou e públicou terabytes de dados confidenciais - incluindo filmes ineditos, salarios e emails executivos - e destruiu 45.000 dispositivos com o wiper [[destover|Destover]], causando US$ 100 milhões em danos. ## Visão Geral O **Sony Pictures Hack** foi um divisor de aguas na percepcao pública de ataques ciberneticos patrocinados por Estado: pela primeira vez, uma corporacao ocidental de alto perfil teve 70% de sua infraestrutura completamente destruida por um governo estrangeiro em resposta a um conteudo cultural (o filme "The Interview", que satirizava Kim Jong-un). O ataque demonstrou que atores estatais estavam dispostos a usar capacidades ciberneticas ofensivas como instrumento de censura e coercao corporativa. O [[g0032-lazarus-group|Lazarus Group]] manteve presenca silenciosa na rede da Sony por **semanas ou meses** antes da fase destrutiva, realizando reconhecimento extenso, identificando sistemas criticos, exfiltrando mais de **100 terabytes de dados** - incluindo filmes ineditos, scripts, dados pessoais de 47.000 funcionarios, correspondencias executivas embaracosas e acordos salariais. A fase destrutiva foi executada em um único dia coordenado usando o wiper [[destover|Destover]], que sobrescreveu o MBR e destruiu dados em disco de forma irreversivel em 45.000 dispositivos e servidores, colocando a Sony em operação manual por semanas. O grupo se identificou públicamente como **Guardians of Peace (GOP)**, públicando os dados roubados de forma sistematica para maximizar o dano reputacional. O FBI atribuiu formalmente o ataque a Coreia do Norte, gerando uma crise diplomatica que resultou em novas sancoes americanas contra o regime de Pyongyang. O caso estabeleceu o precedente de que ataques ciberneticos destruidores por Estado contra empresas privadas constituem ato de agressao com consequências diplomaticas. Para o Brasil, a relevância e doutrinaria: a combinacao de reconhecimento prolongado + exfiltração massiva + wiper final e um padrao reutilizavel contra qualquer corporacao global. ## Attack Flow - Sony Pictures Hack ```mermaid graph TB A["🎯 Acesso Inicial<br/>Spear-phishing (vetor provavel)"] --> B["🔍 Reconhecimento Prolongado<br/>Meses de presenca silenciosa"] B --> C["📤 Exfiltração em Massa<br/>Filmes, emails, dados de 47k"] C --> D["🎭 Identidade GOP<br/>Guardians of Peace publicam dados"] D --> E["💾 Destover Wiper<br/>MBR + Disk wipe programado"] E --> F["🖥 70% da Infra Destruida<br/>45.000+ dispositivos afetados"] F --> G["💀 US$100M em danos<br/>Crise diplomatica EUA-DPRK"] classDef access fill:#2a1a3a,color:#ccaaff,stroke:#9b59b6 classDef exfil fill:#1a2a3a,color:#aaccff,stroke:#2980b9 classDef impact fill:#5a1a1a,color:#ffaaaa,stroke:#e74c3c class A,B access class C,D exfil class E,F,G impact ``` ## Visão Geral O **Sony Pictures Hack** de novembro de 2014 foi um ataque destrutivo de alta magnitude conduzido pelo [[g0032-lazarus-group|Lazarus Group]], atribuído à Coreia do Norte pelo FBI em dezembro de 2014. A operação - realizada pela persona "Guardians of Peace" (GOP) - destruiu aproximadamente **70% da infraestrutura de TI** da Sony Pictures Entertainment e vazou gigabytes de dados confidenciais, incluindo filmes inéditos, e-mails executivos, dados salariais e números de Seguro Social de funcionários. A motivação foi a retaliação à produção e distribuição planejada do filme **"The Interview"** (2014), uma comédia satírica sobre o assassinato do líder norte-coreano Kim Jong-un. O ataque é considerado um caso paradigmático de **operação cibernética destrutiva com motivação geopolítica** e estabeleceu novos precedentes sobre a disposição de estados-nação em realizar ataques cibernéticos contra empresas privadas. ## Linha do Tempo | Data | Evento | |------|--------| | Nov/2014 (anterior) | Acesso inicial à rede Sony - vetor exato não confirmado (provavelmente spearphishing) | | 24/Nov/2014 | Telas de estações de trabalho exibem imagem de esqueleto com mensagem "GOP"; discos começam a ser apagados | | 24-26/Nov/2014 | Vazamento de 5 filmes inéditos (incluindo "Fury" e "Annie") via redes P2P | | Nov/2014 | Vazamento de e-mails de executivos com comentários sobre atores e políticos | | Nov/2014 | Vazamento de dados de 47.000 funcionários: SSNs, salários, informações médicas | | Dez/2014 | Ameaças ao público que assistir "The Interview" em cinemas | | 17/Dez/2014 | Sony cancela lançamento teatral de "The Interview" após ameaças | | 19/Dez/2014 | FBI atribui formalmente o ataque à Coreia do Norte | | 25/Dez/2014 | Sony lança "The Interview" em plataformas digitais e cinemas independentes | ## Malware Destover O [[destover]] foi o principal payload destrutivo da operação. Funcionava como um **wiper** (destruidor de dados) com múltiplos componentes: - **MBR Wiper** - Sobrescrevia o Master Boot Record, tornando sistemas inoperáveis após reinicialização - **Disk Wiper** - Destruía conteúdo de drives com dados aleatórios - **Backdoor Component** - Fornecia acesso persistente à rede antes da fase destrutiva - **DDoS Module** - Componente para ataques de negação de serviço - **Evasão** - Verificava tokens de tempo para não executar antes da data programada; usava certificados digitais legítimos roubados de empresas Sony O [[g0032-lazarus-group|Lazarus Group]] utilizou infraestrutura comprometida de terceiros (incluindo servidores na Bolívia e Itália) como proxies para mascarar a origem norte-coreana das comúnicações C2. ## Táticas e Técnicas MITRE ATT&CK | Tática | Técnica | Detalhe | |--------|---------|---------| | Initial Access | [[t1566-phishing\|T1566 - Phishing]] | Provável spearphishing para acesso inicial | | Persistence | T1547 - Boot Autostart | Persistência antes da fase destrutiva | | Defense Evasion | T1036 - Masquerading | Certificados legítimos Sony roubados | | Defense Evasion | T1090 - Proxy | Servidores comprometidos como proxies C2 | | Credential Access | T1003 - OS Credential Dumping | Coleta de credenciais para movimentação lateral | | Lateral Movement | T1021 - Remote Services | Propagação pela rede Sony | | Collection | T1213 - Data from Information Repositories | Coleta de e-mails, documentos, filmes | | Exfiltration | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração de terabytes antes da destruição | | Impact | [[t1485-data-destruction\|T1485 - Data Destruction]] | Wiper destrutivo: MBR + disco | | Impact | T1491 - Defacement | Tela de esqueleto GOP em workstations | ## Atribuição **Confiança: ALTA** - **FBI** (19/dez/2014) - Atribuição formal à Coreia do Norte baseada em análise de malware, infraestrutura e inteligência de sinal - **NSA** - Evidências de que a NSA monitorava redes norte-coreanas e viu a operação sendo planejada - **Evidências técnicas:** - Sobreposições de código com malware DarkSeoul (2013), também atribuído ao [[g0032-lazarus-group|Lazarus Group]] - Strings em coreano em binários do [[destover]] - Endereços IP nord-coreanos em metadados de compilação - Infraestrutura compartilhada com operações anteriores do grupo **Debaté de atribuição:** Alguns pesquisadores (ex.: Marc Rogers) questionaram a velocidade e certeza da atribuição em 2014. O consenso atual na comunidade de segurança sustenta a atribuição norte-coreana como altamente provável. ## Impacto e Legado O ataque causou prejuízos estimados em **mais de 100 milhões de dólares** e teve impactos duradouros: - **Reputacional** - Vazamentos de e-mails expuseram comentários embaraçosos de executivos sobre atores e políticos (incluindo o presidente Obama) - **Financeiro** - Destruição de infraestrutura, perda de conteúdo, custos de recuperação - **Político** - Crise diplomática EUA-Coreia do Norte; debaté sobre liberdade de expressão vs. autocensura - **Precedente** - Primeiro ataque destrutivo em larga escala de estado-nação contra empresa privada americana Para a CTI global, o caso Sony estabeleceu que atores estatais podem executar operações ciber destrutivas com **motivação ideológica/retaliativa** contra empresas privadas, não apenas infraestrutura crítica governamental. ## Conexão com o Lazarus Group O Sony Pictures Hack é considerado um dos eventos fundadores da identidade operacional do [[g0032-lazarus-group|Lazarus Group]] como ameaça de capacidade destrutiva. Após 2014, o grupo diversificou operações para: - Crimes financeiros (SWIFT, [[Bybit Heist - 2025]]) - Espionagem (Operation DreamJob) - Ransomware (WannaCry 2017) - MITRE ATT&CK - Lazarus Group (G0032) - MITRE ATT&CK - Destover (S0024) - [Mandiant - Sony Pictures Breach Analysis](https://www.mandiant.com/resources/blog/overview-uac-bypasses) ## Relevância para o Brasil e LATAM Embora o Sony Pictures Hack não tenha alvos diretos na América Latina, o incidente tem relevância estrutural para o Brasil por três razões. Primeiro, a Coreia do Norte através do [[g0032-lazarus-group|Lazarus Group]] demonstrou pela primeira vez que é capaz de executar operações cibernéticas destrutivas com motivação ideológica contra empresas privadas - um precedente que expandiu o espectro de ameaças que organizações brasileiras precisam considerar. O Brasil tem um florescente ecossistema de entretenimento, mídia e tecnologia que poderia teoricamente atrair aténção de atores estatais em contextos de conflito geopolítico. Segundo, o caso Sony estabeleceu o Lazarus Group como ator com capacidades de persistência de longo prazo, exfiltração massiva e destruição. Este mesmo grupo opera ativamente contra o setor financeiro e de criptomoedas brasileiro - como demonstrado pelo [[bybit-heist-2025|Bybit Heist de 2025]]. Compreender a evolução do grupo desde 2014 é fundamental para avaliar seu nível de sofisticação atual. Terceiro, o modelo de ataque híbrido (espionagem + destruição disfarçada de hacktivismo) tem sido replicado por outros grupos APT em operações recentes, incluindo aquelas contra governos latino-americanos. Para profissionais de segurança brasileiros, o caso Sony é um estudo de caso essencial sobre resposta a incidentes destrutivos: a Sony demorou semanas para detectar o comprometimento, durante o qual terabytes de dados foram exfiltrados. A lição central - detectar exfiltração de dados antes da fase destrutiva - permanece crítica para organizações de qualquer porte. --- *Fonte: [FBI Attribution Statement - December 2014](https://www.fbi.gov/news/press-releases/update-on-sony-investigation)* *Fonte: [US-CERT Alert - Destructive Malware (Destover)](https://www.cisa.gov/news-events/alerts/2014/12/19/destructive-malware-targeting-organizations)*