韓国への大規模サイバーテロ事件について(2)

いくつかの続報が出てきていますのでまた少しまとめておきます。
TrendMicroの挙動調査および感染経路の報告はかなり信頼性が高そうな印象です。

1.概要

  • 発信源は中国国内ではなかった
  • Unix系サーバーへの攻撃コードも含まれていた
  • TrendMicroより詳細なmalwareの挙動の調査報告および感染経路の推定報告が出ている

2.発信源は中国国内ではなかった

前回の記事発行時には中国国内のIPアドレスから感染した、と報道されていましたが、状況が変わっています。国内での報道でも出てきていますが、どうも被害にあった農協内部で感染元になったサーバがたまたま中国国内のサーバーのIPアドレスと重複するIPを設定しており誤認したようです。

まぁ、プライベート空間にグローバル空間のIPアドレス振るなよ、っていう話ですが・・・

  1. KISA(韓国インターネット振興院)の報告(韓国語)
  2. atmarkITの記事 韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス

3.Unix系サーバーへの攻撃コードも含まれていた

今回のmalwareは感染したPCを破壊するだけでなく、mRemoteとSecureCRTに保存されているID/Passを利用して、接続可能なUnix系サーバへアクセスして破壊する動きまでとるようです。

mRemote/SecureCRTはどちらもインストールされているクライアントPCからサーバへリモートアクセスを行うためのツールです。要するにリモートデスクトップやらSSHやらの接続を管理し、一度アクセスしたサーバへのID/Passwordを保持して次回接続時に簡単に接続できるようにするツールです。

ゆえにソフトウェア内部のどこかに平文パスワードを保持しており、今回のmalwareはこれを利用して管理者権限が取れるサーバに接続して下記のディレクトリを削除します。

  • /kernel
  • /usr
  • /etc
  • /home

徹底的に破壊に特化しています。ID/Passはこの手のリモート接続ツールに覚えさせておくと、こういう攻撃に利用されるケースがあるという事ですね。私も注意しないと・・・

4.TrendMicroより詳細なmalwareの挙動および感染経路の推定報告が出ている

TrendMicro社より詳細な挙動および感染経路に対する報告(推定)が出ています。現時点では最も説得力があるように思えます。

第一段階:メールによるスピアー攻撃(3/19)

報告によると3/19日に銀行からのメールを装った偽装メールを送っているようです。この偽装メールの添付ファイルはダウンローダであり、添付ファイルを開くと9つのファイルをダウンロードします。

(筆者推測)この”9つのファイル”の実態は記述されていませんが、恐らくバックドア系ではないかと思われます。

第二段階:中央管理サーバへのmalware設置

malwareを効果的に広めるよう、中央管理サーバにmalwareを押し込みます。

(筆者推測)ここは報告書では明確に記述されていませんが、恐らくアンラボ社の中央管理サーバの権限を何らかの手法で奪取したと思われます。サーバの権限を乗っ取ったのか、アンラボ社の中央管理サーバ自体の脆弱性をついたのか、このあたりは現時点では不明です。

第三段階:malwareの散布と起動

中央管理サーバに接続している全クライアントに仕込まれたmalwareが配布され3/20 14:00に起動。結果全クライアント壊滅。

KISAは感染経路の特定はまだ作業中であり、時間がかかる可能性がある、としておりまだ確証取れている状態ではないようです。( KISA報告)。とはいえ現時点では最も説得力のあるストーリーだと思います。

5.現時点で見えていること

  • 昨日時点より調査・解析が進んでおり、技術的には進展。典型的APT
  • 誰が・何を目的として今回の事件を起こしたのかは全く不明

複数の「既存のアンチウイルスソフトウェアに検知されない」新種のmalwareを開発する力を持つ人たちが相手なはずです。相当なレベルであり、やはり軍レベルが関与していそうな雰囲気です。引き続き続報を待ちたいと思います。

韓国への大規模サイバーテロ事件について

まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。

1.被害状況

  • 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる
  • 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能

2.攻撃手法

  • 良くありがちなDDOSなんぞではなく、malware配布によるもの。
  • 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。
  • アンラボ社の見解(韓国語)
  • 資産管理サーバーを乗っ取った手法は不明だが、APTにより管理サーバのアカウントを乗っ取ったものとアンラボ社は見ている。
  • 資産管理サーバは恐らくパターンを配布するアンラボ社製品の中央管理サーバを指すと思われます。

アンラボ社製品紹介
資産管理機能について触れられている

3.malwareの動き

結構凶悪ですね。感染力を無視し、可能な限りダメージを与えることを目的としているようです。

  • MBR破壊。PCが起動できない状態となる
  • つながっているHDD全消去。
  • 多分mountされているドライブ全て。
  • ファイルサーバーをネットワークドライブとしてmountしている場合、そっちもやられちゃうんじゃないかしら・・・

関連ソース

4.何が脅威か?

これは元気な少年によるウイルス作ったらなんとなく広がっちゃったよ的なレベルでは全くないし、Anonymous的な権威に反抗してやるぜベイベー的な物にも見えない。

今回犯人がやったことは下記の様なものだ思われます。

  1. 攻撃すべきターゲットを明確に絞り込む
  2. ターゲット組織内に浸入
  3. アンチウイルスの中央管理サーバ乗っ取り
  4. malwareを中央管理サーバに仕込み配布
  5. 対象組織内全クライアントにmalware配布
  6. 2013/3/20 14:00に一挙に起動。全クライアント壊滅

これは遊びのレベルではないし、金銭目的でもない。明確な意図を持った攻撃です。攻撃対象を軍に絞ったらどこまで行けたのでしょうか?

これは私にはサイバーテロというより明確なサイバー戦争による奇襲に見えます。下手すると本格攻撃を実施する前の威力調査かもしれない。

5.犯人は誰か?

現在では犯人を特定できるだけの情報はありません。状況から見て北朝鮮が当然強く疑われますが証拠は現時点ではありません。

攻撃の発信元が中国だったという話はありますが、単に中国の機械が乗っ取られて発信元に使われただけではないかと思います。中国の例の61398部隊が関与している証拠もないですし、恐らく違うでしょう。続報が待たれます。

6.誤解ないしデマ(の可能性が高いもの)

Windows 7のSP1を割れOSにあてたから全面ダウンした

そんなんではありません。明確なmalwareによる攻撃です

非正規版WSUSのアップデートサーバにmalwareが仕込まれていた

  • アンラボ社の調査ではアンラボ社製品の資産管理サーバ経由と思われます。
  • オリジナルの記事は「非正規WSUSが残っていればそういう攻撃も可能」という推定の話
  • 明確に否定できるわけではないが、実際に現地で調査しているアンラボ社の調査のほうが信憑性は高いとみています

※オリジナル記事 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因

Mandiant報告書(2) -Executive Summary-

1.概要

さて、それではMandiant報告書の解説を始めてみたいと思います。まず、最初にあるのはExecutive Summaryです。ここを読めばこの報告書で書かれていることが概要が概ね把握できるようになっています。

61398部隊との関係や、実際に盗み出している情報の種類、攻撃対象が中国の戦略的新興産業であることの指摘など、この時点で背筋がぞくっと来るものがあります。中国という国が一般企業の技術を狙って戦略的に動いているようにしか見えないです。

2.用語解説

内容にはいる前に、まずいくつか用語の解説を入れます。

2.1 APT(Advanced Persistent Threat)

色々な定義がありますが、こちらのリンクにある定義が一番適切かと思います。

http://www.lac.co.jp/security/blog/2011/03/lac2011-vol05.html

要するに不特定多数へ適当に攻撃を仕掛けていくつか成功すればラッキーといういたずら的な攻撃ではなく、明確にターゲットをしぼり、そのターゲットに向けてソーシャルエンジニアリングから最新の脆弱性利用まで含めた複数の攻撃をしぶとく仕掛けていくタイプです。

APTのポイントは「明確にターゲットが絞られていること」にあると考えます。その情報を取りに行きたい人たちがしぶとく攻撃を仕掛ける。これは今までのいわゆるネット上の個人が面白半分で攻撃しているのとは明確に異なります。

2.2 MUCD(Military Unit Cover Designator)

中国人民解放軍が部隊の識別子として与えている5桁の数字です。


正式名称:第14軍団/第3師団/第125連隊/第1大隊
MUCD :81356

MUCDは非公式な略称にとどまらず、公的な出版物やInternet上でも用いられるものだそうです。

3.Executive Summary

ここではもともと要約であるExective Summaryをさらに要約するという暴挙に出ます。詳細は元資料を参照してください。

  1. Mandiantは民間企業だが2004年から7年間に渡り数百の企業のセキュリティ侵害の調査を実施してきた
  2. APT攻撃している中国発のグループは20程度存在するが、このレポートでは最も活動量が多いグループに焦点を当てる。そのグループをAPT1と呼ぶ。
  3. APT1は中国人民解放軍参謀部第三部第二局(61398部隊)そのものであると思われる。

4.:Key Findings

上記結論の根拠となったポイントをいくつか記述しています。

4.1. 61398部隊とAPT1の関係

  • APT1の攻撃は上海の4つの巨大ネットワークから発信されている。そのうち二つは61398部隊の根拠地に存在している。 ・61398部隊は数百から数千の人数が関与している
  • 61398部隊の根拠地に中国電信は光ファイバーを直結している

4.2. APT1が盗み出すデータ

  1. APT1は少なくとも141の企業から数百テラバイトの情報を組織的に盗み出している。
  2. APT1は一旦アクセスルーツを確立すると、数ヶ月から数年にわたりアクセスを続けさまざまな情報を盗み出して行く
  3. 盗み出して行く情報はこんなもの。
  • 技術情報
  • 製造工程
  • テスト結果
  • ビジネス計画
  • 製品価格
  • 被害者企業幹部のメールとコンタクトリスト

4.3. APT1の攻撃対象

  1. 英語圏の幅広い業種に対して攻撃をかけてくる
  2. 141のAPT1のターゲットのうち87%が英語圏
  3. APT1の攻撃対象業種は中国が戦略的新興産業と位置づけた業種と合致する。

4.4. APT1のインフラ規模

  1. APT1は数千のシステムを攻撃用に利用している
  2. 直近2年で特定した攻撃サーバ(C2サーバ)は13ヶ国にわたり存在している。
  3. 849のC2サーバのうち709は中国にあり、その次にアメリカに109が存在している。
  4. 直近3年でAPT1は988のドメインを利用している
  5. 二年間にわたる調査で、APT1が攻撃サーバに832の異なるIPアドレスからリモートデスクトップ接続で接続している

4.5. APT1の攻撃発信源

  1. Mandiantが観測した1905の攻撃の97%で、攻撃者は上海のIPアドレスから接続し、簡体字を利用していた
  2. 767の設置されたバックドアは614の異なるIPアドレスに接続していた。
  3. 614のアドレスは全て中国に登録されていた
  4. そのうち613が4つの上海のネットワークのうちのどれかに属していた

4.6. APT1のグループの規模

  1. APT1のインフラの規模は数十人、おそらくは数百人規模の人間のオペレータがいることを意味している
  2. APT1の規模は少なくとも1000台のサーバーを保持している
  3. APT1はこれだけの規模の攻撃を行うために、下記のようなサポートが必要である。
    • 翻訳者
    • オープンソース調査者
    • マルウェア開発者
    • 攻撃対象の各業界に対する精通者
    • 盗み出した情報を整理し、情報要求者に渡す人
    • システム全体を管理するシステム管理者

4.7. APT1ペルソナ

※personaという言葉を利用しています。攻撃者その人、というより、その名前を使っている人たちがおり、一人かもしれないし、複数人かも知れない。

  1. Mandiantは3人のAPT1のペルソナを特定した。

4.7.1. UglyGollira

  • APT1が利用しているドメインを2004年から登録している。

4.7.2. DOTA

  • APT1が利用しているメールアドレスを数ダース登録している。
  • 上海の携帯電話を持っている。
  • UglyGorillaとDOTAはAPT1の同じインフラを利用している。

4.7.3. SuperHard

  • APT1が利用しているマルウェアの作者
  • “SuperHard”は61398部隊の根拠地である”Pudong New Area in Shanghai”にいることが判明している

4.8. Mandiantの対応

  1. 3000近いAPT1を識別する識別子(ドメイン名/IPアドレス/マルウェアMD5チェックサム)を提供している
  2. MandiantのEnterprizeレベルの製品を使っている会社はこれらのAPT1を利用可能
  3. そのほかにフリーのホスト単位調査ツール”Redline”を提供している

5.結論

  1. これらの証拠からAPT1は61398部隊であると結論する。
  2. 下記のような可能性はまだ存在するが、非常に可能性としては低い
    • 極秘で潤沢なリソースを持った中国人集団であり
    • 複数年にわたり構築された上海の通信環境に直接アクセス可能であり
    • 61398部隊の根拠地のすぐ近くにあり
    • 61398部隊とよく似たミッションを遂行している集団がほかにいる

6.なぜAPT1を公表するに至ったか?

  1. 61398部隊の情報を公表する決断はつらい決断であった
  2. 中国からの攻撃の実態を知らせることで、セキュリティのプロフェッショナルが攻撃に対し効果的に備えることができるようになる。
  3. しかし逆に公表すれば、このレポートで記述されている攻撃手法はまだ知られていない別のものに置き換えられて行くだろう
  4. 我々は彼らをトレースするのに苦労することになる。
  5. 公表した3000のシグネチャーもすぐに無効化されるだろう
  6. 我々はこのレポート自体がもつリスクにも気がついている。
  7. 中国はわれわれに対して激しい非難と報復をしてくることを予期している

MANDIANT報告書を解説してみる(1)

1.概要

昨今色々なところで報道されていますが、中国のサイバー攻撃が話題になっています。ちょっと気になった、というかぶっちゃけ面白そうだったので元資料を読んでみました。

元ネタになっているのはMANDIANT社が公開した下記資料です。

Exposing One of China’s Cyber Espionage Units
(http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf)

実際この報告書を読んでみると、最初は非常に面白いです。含まれている内容はざっくり言うとこんな感じ。

(1)どうやってMandiant社が問題の部隊にたどり着いたのか
(2)実際の攻撃の手口の分析
(3)攻撃者のプロファイル

記述されている内容も非常に慎重かつ詳細かつ精緻であり、この報告書自体が捏造とか嘘っぱちということは非常に考えにくい印象です。十分に信頼に足る報告書だと私は判断しています。

2.この報告書をどう捉えるか?

まぁ、正直最初は面白がって読んでいただけなのですが、読み進むにつれてぞくっとくる物を感じてしまいました。これは結構やばいんでないかと。単なるしょぼい部隊の産業スパイ大作戦とはちと思えない。大規模すぎるし本気すぎる。

MANDIANT報告書ではそのようなことは一切書かれていないので単純に読んで私が感じた印象のレベルでしかないですが、ひょっとしたら中国は国を挙げて全面的に産業スパイ大作戦を展開し、産業スパイによる国力向上を図っているのではないか?とか思ってしまったわけです。

最近の軍事技術は基盤環境まで含めて高度化しており、中核となる設計書を盗み出したとしてもそれを再現することは難しいと思うです。相手の性能を知ること(もちろんとても重要なことです)は出来るかも知れませんが、同じものを作ることは、それだけでは多分出来ない。

ソフトウェアの世界で言えば、概要設計だけあっても同じ品質のソフトウェアは作れないよね、という話とイコールかと思います。エンジニアへの教育レベルとかテスト手法とかコーディング規約とかプロジェクト運用ルールとか。そこまでそろって初めて組織として高品質を担保できる。そうでないとなんとなくそれっぽく動いている、というレベルまでしか到達できません。

中国の産業スパイ大作戦はこの構図自体をひっくり返すことを狙っているんじゃないかしら?生産のノウハウや品質向上、果ては従業員教育のレベルまで全てのノウハウを不正な手段で獲得し、基盤技術の成長を加速しようとしているじゃないのか?

もしそうだとすると、その攻撃は

「中国軍の支援を受けた強力なクラッカー部隊 vs そこらの一般の企業のシステム管理者」
という構図になります。

あれ・・・これもしかして俺ら普通の量産型エンジニアって知らぬうちに最前線立ってね・・・・?

3.本稿での解説予定

そんなわけでちとびびって来たのでMandiantさんの報告書の解説をして見たいと思いました。何もならんとは思いますが、何もせんでいるのはなんか嫌だし。

内容としてはこんな感じで書いていこうと思っています。

Mandiant報告書解説シリーズ
1.本ページ
2.Mandiant報告書解説
2.1.Exective Summary
2.2.61398部隊(China’s Computer Network Operations Tasking to PLA Unit 61398)
2.3.APT1:これまでの活動(Yeas of Espionage)
2.4.APT1:攻撃手順詳細(Attack Lifecycle)
2.5.APT1:利用ネットワークインフラ(Infrastructure)
2.6.APT1:クラッカー個人プロファイル(Identities)
2.7.結論(Conclusion)

3.サイバー戦争の新しい形?というか正しいサイバー戦争のやり方?
4.どうやって戦うねん?

4.注意事項

(1)私はセキュリティの専門家でも安全保障の専門家でもありません。そこらへんに転がっている量産型エンジニアです。そのため、内容には多くの間違いがあると思います。
(2)さらに言うと英語もあまり得意ではありません。間違って理解しているところも一杯あると思います。
(3)というわけで、出来る限り元ネタを当たって下さい。この文章が元ネタへの誘導になれば十分にその役目は果たしていると思います。
(4)おかしなところを発見したらご指摘頂ければありがたいです。可能な限り修正いたします。