韓国の大規模ダウンは資産管理サーバー経由での攻撃か

2013/03/21セキュリティ

昨日、韓国の放送局や金融機関がサイバー攻撃されたとの報道があった。1日経って、少しずつ情報が出てきたのでメモしておく。

新情報が入り次第、追記します。

注:「非正規のクライアントOSを使っていたために、WindowsUpdateで起動不能にされた」という誤情報を流している人がいるようです。毎度の事ながら困ったものだ。

例によって2ちゃんねる発→パクリサイト経由で広がっているようです。

追記:サーバー側が非正規だったのでは?という説が出ています。「セキュリティ・ホットトピックス – 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITpro」。記事本文は推測ばかりで妙な記事です(この記事の下で詳しく書きます)。


資産管理サーバー経由の攻撃

韓国ハウリ社(ウイルス対策ソフト開発会社)から下記のリリースが出ている。

[참고사항]
일부 언론을 통해 와전된 것처럼 업데이트 서버 해킹으로 인한 악성코드 유포는 아니며,
방송사 및 금융사 내부망에 설치된 자산관리서버(업데이트 관리서버)를 통해서 PC에 악성코드가 이용된 것으로 확인되었습니다.

Anti-Virus Leader ViRobot

Google翻訳してみよう。

一部のメディアを介して誤って伝えたように、アップデートサーバーハッキングによる悪性コード流布はなく、
放送局や金融機関の内部ネットワークにインストールされて資産管理サーバ(更新の管理サーバー)を介してPCに悪意のあるコードが利用されていることが確認されました。

Anti-Virus Leader ViRobot

アンラボ社の解析結果も報道されている。
(アンラボは韓国ウイルス対策ソフト最大手。韓国でのシェアが約70%)。

안랩은 “이번 전산망 마비에 사용된 악성코드 유포에는 외부망 IDC에 위치한 '업데이트 서버’가 아닌 기업의 내부망의 '자산관리서버’가 이용된 것으로 확인됐다"고 밝혔다.

“안랩V3 뚫렸다" vs “기업망 해킹", 진실은?

アンラボは、 “今回の電算網麻痺に使用された悪性コード流布は、外部ネットワークIDCに位置する"アップデートサーバー"ではなく、企業の内部ネットワークの"資産管理サーバー"が使用されたことが確認された"と明らかにした。

“안랩V3 뚫렸다" vs “기업망 해킹", 진실은?

上記報道では「ウィンドウズ·ビスタ、ウィンドウズ7は、すべてのデータが破損します。ウィンドウズXP、ウィンドウズ2003サーバーは、一部が損傷される」「現在さらに亜種が発見されており、不特定多数を対象とした攻撃の危険性がある」とのことなので、被害はかなり大きなものになりそうだ。

同様の攻撃は2012年8月の中東諸国でも発生している(Shamoon 攻撃 | Symantec Connect コミュニティ)。

The results of the disk wiping actions are consistent with the major outages reported in that region. Disk wiping is not a new activity, in a separate incident in August 2012, a number of middle eastern organizations were hit by the W32.Disttrack (Shamoon) threat which caused a similar type of damage by wiping hard disks.

South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack | Symantec Connect Community

アクセス元は中国・攻撃元は北朝鮮??

アクセス元は中国であるという情報が流れている(3/22追記:誤りだったようだ。後述)。

ロイターが Yonhap news 発として伝えている。“An unnamed official” によるものらしいが……

An unnamed official from South Korea’s presidential office was quoted by the Yonhap news agency as saying the discovery of the IP address indicated Pyongyang was responsible for the attack on Wednesday.

A previous attack on a South Korean newspaper that the government in Seoul traced back to North Korea also used a Chinese IP address.

Cyber attack on South Korea came from Chinese IP: Seoul | Reuters

Yonhap newsの元記事では “Seoul’s communications watchdog” 及び 大韓民国放送通信委員会からの情報として書かれている。記事では “possibility that North Korea was behind the cyber attack” として、北朝鮮が中国を踏み台として攻撃した可能性を示唆している。攻撃するときは踏み台を使うと思われるので真の攻撃元の特定は難しいと思うのだが……

IPアドレスまで明記されている(このような情報を明らかにしていいのだろうか?)。

この記事では被害台数を6社計32000台としている。

Following an analysis of source codes, the Korea Communications Commission (KCC) announced that the incident was caused by malicious codes rather than distributed denial-of-service (DDoS) attacks.

In a briefing, the KCC said a Chinese IP address (101.106.25.105) accessed Nonghyup’s update management server and generated malicious files.
Malicious code in NongHyup system came from Chinese IP: gov’t | YONHAP NEWS

(韓国語版記事の方が詳しい:“악성코드, 중국서 유입"…北소행 가능성에 무게(종합2보) | 연합뉴스

101.106.25.105 は中国のISPである 北京电信通电信工程有限公司が管理するアドレスブロックに含まれるようだ。

Sophos社は「北朝鮮の攻撃であるという強い証拠はない」としている。

For this reason, it’s hard to jump to the immediate conclusion that this was necessarily evidence of a “cyberwarfare" attack coming from North Korea.
(中略)
And as yet no strong evidence has emerged that whoever was behind this attack is based in, or has backing from, North Korea.

DarkSeoul: SophosLabs identifies malware used in South Korean internet attack | Naked SecurityNaked Security

中国側では「盗用别国IP地址进行网络攻击是黑客惯常作法」としている。

中国経由との当初報道は誤り

下記報道から推測するに組織内部のネットワークでRFC1918で定義されたIPアドレスではなく、適当に割り振ったIPアドレスを使っていたのだと思われる。それが中国で利用されているアドレスに一致したと。

昔はこういう事例も良くありましたな(21世紀になってからも)。RFC1918の立場は……

合同対応チームによると、被害を受けた農協系金融機関のパソコンを分析する過程で中国内のIPアドレスでないことが分かった。同金融機関は内部用に別途のIPアドレスを持っていたが、これが中国内のアドレスと偶然に一致していたため国際承認を受けた中国のIPアドレスと誤解したという。

ハッキング不正プログラム 韓国「中国経由は誤り」 – 聯合ニュース

韓国語版には なぜミスを犯したのかの詳しい説明がある。一般紙でここまでちゃんと書くのは偉い。

標的型攻撃により管理者権限を取られた?

アンラボ社は、“APT攻撃により更新サーバーの管理者のユーザーIDとパスワードを奪取された”と推定しているようです。

안랩에선 이번 전산망 마비 사태가 특정 목표를 노린 APT 공격으로 파악되고, 현재 추가적으로 변종이 발견되고 있다고 지적했죠?

안랩 “피해 업체 계정 해킹이 원인" [김홍선, 안랩 대표]

非正規のWindowsサーバーが原因?

(この項は調査途中)

日経ITproに次のような記事が掲載されています。断定形のタイトルなのに本文は推測ばかりの記事です。これによると非正規のWSUS経由でのWindows Updateが引き金とされていますが……

非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。
(中略)
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。

セキュリティ・ホットトピックス – 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITpro

しかし韓国国内や日本での報道では、マルウェアはウィルス対策ソフトに偽装していたとされています。この推論はおかしいように思います。

資産管理サーバーとは?

先に引用したようにアンラボ社では「悪性コード流布は、外部ネットワークIDCに位置する"アップデートサーバー"ではなく、企業の内部ネットワークの"資産管理サーバー"が使用されたことが確認された」としている。

報道記事では「資産管理サーバー」は「各会社の内部ネットワークに設置されてワクチンなどを最新の状態に保つ」と解説されている。

また「한편 장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF’로 알려졌다. 이 악성코드는 안랩의 통합자산관리 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인되었다」と解説があるが、こちらは自動翻訳では文意がわからなかった。

この文に出てくるAPCについては、アンラボジャパンに日本語の資料がある。

アンラボ”V3” ウイルス対策ソフト製品群を、管理コンソールからクライアントに自動的にインストールすることができ、ポリシーを設定/管理できます。
(中略)
CPU、メモリなどハードウェアの資産情報、各PCのソフトウェアインストール状況、Windows OSのパッチ適用状況などを把握する、資産管理機能を持っています。

AhnLab Policy Center 3.0 – セキュリティサービスのアンラボ

マルウェアはウィルス対策ソフトに偽装している

毎日新聞の報道では「ワクチンソフトのアップデートを装ってウイルスを事前に流布」としている。

韓国国内の報道でも、ワクチンソフトのモジュールに偽装したマルウェアによるものとされている(引用の日本語はGoogle翻訳による)。

マルウェアは、ハウリ対策プログラムの構成モジュールファイル(ファイル名:othdown.exe)に偽装した"とし、 “他のワクチンプログラム(アンラボ)やはりサーバーの構成モジュールで、悪意のあるコードが偽装した"と明らかにした。

사상초유 3.20 사이버 대란, 책임은 누구에게?

報道から判断するとWindows Updateではなくてウィルス対策ソフトの更新が引き金のように見えます。

マルウェアの動作について

アンラボの報告が出ています。「すべての論理ドライブのデータを “PRINCPES" 文字列で上書きされた後削除」などとあり、破壊されたディスク内データの復旧は極めて困難だと思われます。

現在この悪性コードは、オペレーティングシステムに応じて、ディスクを損傷させる機能が含まれており、詳細なディスクの破損については、以下の分析情報に記述した。

ASEC Threat Research & Response blog :: 주요 방송사 및 은행 전산망 장애 유발 악성코드 분석(日本語訳はgoogle翻訳による)

トレンドマイクロの報告。再起動は不正プログラムによるもの。このことからも 「Windows Updateに伴う再起動」が原因ではなかったと判断できる。
(報道によると発生時刻は20日午後2時ごろであり、業務開始時ではない)。

この不正プログラムは、「マスター・ブート・レコード(MBR)」を「HASTATI」や「PRINCPES」という文字列で上書きします。MBRは、通常、オペレーティングシステム(OS)を正常に起動させる際に必要な情報を保有しています。そしてこの不正プログラムは、自動的に感染コンピュータを再起動させ、コンピュータが再起動されると、破壊されたMBRが原因となり、感染コンピュータは起動できなくなります。
(中略)
なお、同時期に、他の攻撃も韓国を襲いました。主要な電子機器企業のWebサイトが書き換えられる被害に遭いました。また、複数の銀行のWebサイトも改ざんされ、閲覧者の端末にバックドア型不正プログラムを侵入させるエクスプロイトコードが挿入されていました。これら一連の攻撃の関連性を示す証拠は、現時点ではなく、同時期に発生したのは単なる偶然の可能性もあります。
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

101.106.25.105について

当初中国のIPアドレスであると誤報され、後に組織内で利用しているアドレスだと報道された “101.106.25.105” が、 ipaddress.com というサイトでは “1695750.r.msn.com” になるから やっぱり不正なOSを使っていたのでは?という誤情報が出回っています。

これについては「韓国への大規模サイバーテロ事件について(3) | snowwalker’s blog」の検証を読めば充分でしょう。WSUSはこのようなサイトを利用しません。

また、ipaddress.com が どうやって情報を生成しているかも不明です。googleにて “1695750.r.msn.com site:ipaddress.com” を検索するとワラワラと該当ホスト名を持つとされる IPアドレスが表示されます。しかし、これらのIPアドレスは国もバラバラだしレンタルWebサービスも含まれていたり、どうにも信用できません。
(プライベートIPアドレス “10.58.2.67” まで含まれています。なにこれ )

関連リンク

国内ニュース

セキュリティ

Posted by ず@沖縄