韓国の大規模ダウンは資産管理サーバー経由での攻撃か
昨日、韓国の放送局や金融機関がサイバー攻撃されたとの報道があった。1日経って、少しずつ情報が出てきたのでメモしておく。
新情報が入り次第、追記します。
注:「非正規のクライアントOSを使っていたために、WindowsUpdateで起動不能にされた」という誤情報を流している人がいるようです。毎度の事ながら困ったものだ。
例によって2ちゃんねる発→パクリサイト経由で広がっているようです。
追記:サーバー側が非正規だったのでは?という説が出ています。「セキュリティ・ホットトピックス – 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITpro」。報道からするとWindows Updateではなくてウィルス対策ソフトの更新のように思われますが……
資産管理サーバー経由の攻撃
韓国ハウリ社から下記のリリースが出ている。
[참고사항]
일부 언론을 통해 와전된 것처럼 업데이트 서버 해킹으로 인한 악성코드 유포는 아니며,
방송사 및 금융사 내부망에 설치된 자산관리서버(업데이트 관리서버)를 통해서 PC에 악성코드가 이용된 것으로 확인되었습니다.
Google翻訳してみよう。
一部のメディアを介して誤って伝えたように、アップデートサーバーハッキングによる悪性コード流布はなく、
放送局や金融機関の内部ネットワークにインストールされて資産管理サーバ(更新の管理サーバー)を介してPCに悪意のあるコードが利用されていることが確認されました。
アンラボ社の解析結果も報道されている。
안랩은 “이번 전산망 마비에 사용된 악성코드 유포에는 외부망 IDC에 위치한 ‘업데이트 서버’가 아닌 기업의 내부망의 ‘자산관리서버’가 이용된 것으로 확인됐다”고 밝혔다.
アンラボは、 “今回の電算網麻痺に使用された悪性コード流布は、外部ネットワークIDCに位置する”アップデートサーバー”ではなく、企業の内部ネットワークの”資産管理サーバー”が使用されたことが確認された”と明らかにした。
上記報道では「ウィンドウズ·ビスタ、ウィンドウズ7は、すべてのデータが破損します。ウィンドウズXP、ウィンドウズ2003サーバーは、一部が損傷される」「現在さらに亜種が発見されており、不特定多数を対象とした攻撃の危険性がある」とのことなので、被害はかなり大きなものになりそうだ。
同様の攻撃は2012年8月の中東諸国でも発生している(Shamoon 攻撃 | Symantec Connect コミュニティ)。
The results of the disk wiping actions are consistent with the major outages reported in that region. Disk wiping is not a new activity, in a separate incident in August 2012, a number of middle eastern organizations were hit by the W32.Disttrack (Shamoon) threat which caused a similar type of damage by wiping hard disks.
アクセス元は中国・攻撃元は北朝鮮??
アクセス元は中国であるという情報が流れている。
ロイターが Yonhap news 発として伝えている。“An unnamed official” によるものらしいが……
An unnamed official from South Korea’s presidential office was quoted by the Yonhap news agency as saying the discovery of the IP address indicated Pyongyang was responsible for the attack on Wednesday.
A previous attack on a South Korean newspaper that the government in Seoul traced back to North Korea also used a Chinese IP address.
Cyber attack on South Korea came from Chinese IP: Seoul | Reuters
Yonhap newsの元記事では “Seoul’s communications watchdog” 及び 大韓民国放送通信委員会からの情報として書かれている。記事では “possibility that North Korea was behind the cyber attack” として、北朝鮮が中国を踏み台として攻撃した可能性を示唆している。攻撃するときは踏み台を使うと思われるので真の攻撃元の特定は難しいと思うのだが……
IPアドレスまで明記されている(このような情報を明らかにしていいのだろうか?)。
この記事では被害台数を6社計32000台としている。
Following an analysis of source codes, the Korea Communications Commission (KCC) announced that the incident was caused by malicious codes rather than distributed denial-of-service (DDoS) attacks.
In a briefing, the KCC said a Chinese IP address (101.106.25.105) accessed Nonghyup’s update management server and generated malicious files.
Malicious code in NongHyup system came from Chinese IP: gov’t | YONHAP NEWS
(韓国語版記事の方が詳しい:“악성코드, 중국서 유입”…北소행 가능성에 무게(종합2보) | 연합뉴스)
101.106.25.105 は中国のISPである 北京电信通电信工程有限公司が管理するアドレスブロックに含まれるようだ。
Sophos社は「北朝鮮の攻撃であるという強い証拠はない」としている。
For this reason, it’s hard to jump to the immediate conclusion that this was necessarily evidence of a “cyberwarfare” attack coming from North Korea.
(中略)
And as yet no strong evidence has emerged that whoever was behind this attack is based in, or has backing from, North Korea.
標的型攻撃により管理者権限を取られた?
アンラボ社は、“APT攻撃により更新サーバーの管理者のユーザーIDとパスワードを奪取された”と推定しているようです。
안랩에선 이번 전산망 마비 사태가 특정 목표를 노린 APT 공격으로 파악되고, 현재 추가적으로 변종이 발견되고 있다고 지적했죠?
非正規のWindowsサーバーが原因?
(この項は調査途中)
日経ITproに次のような記事が掲載されています。断定形のタイトルなのに本文は推測ばかりの記事です。これによると非正規のWSUS経由でのWindows Updateが引き金とされていますが……
非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。
(中略)
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。セキュリティ・ホットトピックス – 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITpro
しかし韓国国内や日本での報道では、マルウェアはウィルス対策ソフトに偽装していたとされています。
資産管理サーバーとは?
先に引用したようにアンラボ社では「悪性コード流布は、外部ネットワークIDCに位置する”アップデートサーバー”ではなく、企業の内部ネットワークの”資産管理サーバー”が使用されたことが確認された」としている。
報道記事では「資産管理サーバー」は「各会社の内部ネットワークに設置されてワクチンなどを最新の状態に保つ」と解説されている。
また「한편 장애를 일으킨 악성코드는 ‘Win-Trojan/Agent.24576.JPF’로 알려졌다. 이 악성코드는 안랩의 통합자산관리 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인되었다」と解説があるが、こちらは自動翻訳では文意がわからなかった。
この文に出てくるAPCについては、アンラボジャパンに日本語の資料がある。
アンラボ”V3” ウイルス対策ソフト製品群を、管理コンソールからクライアントに自動的にインストールすることができ、ポリシーを設定/管理できます。
(中略)
CPU、メモリなどハードウェアの資産情報、各PCのソフトウェアインストール状況、Windows OSのパッチ適用状況などを把握する、資産管理機能を持っています。
報道ではマルウェアはウィルス対策ソフトに偽装している
毎日新聞の報道では「ワクチンソフトのアップデートを装ってウイルスを事前に流布」としている。
韓国国内の報道でも、ワクチンソフトのモジュールに偽装したマルウェアによるものとされている(引用の日本語はGoogle翻訳による)。
マルウェアは、ハウリ対策プログラムの構成モジュールファイル(ファイル名:othdown.exe)に偽装した”とし、 “他のワクチンプログラム(アンラボ)やはりサーバーの構成モジュールで、悪意のあるコードが偽装した”と明らかにした。
報道から判断するとWindows Updateではなくてウィルス対策ソフトの更新が引き金のように見えます。
マルウェアの動作について
アンラボの報告が出ています。「すべての論理ドライブのデータを “PRINCPES” 文字列で上書きされた後削除」などとあり、破壊されたディスク内データの復旧は極めて困難だと思われます。
現在この悪性コードは、オペレーティングシステムに応じて、ディスクを損傷させる機能が含まれており、詳細なディスクの破損については、以下の分析情報に記述した。
ASEC Threat Research & Response blog :: 주요 방송사 및 은행 전산망 장애 유발 악성코드 분석(日本語訳はgoogle翻訳による)