piyolog

6月25日に発生した韓国へのサイバー攻撃をまとめてみた。

インシデントまとめ | 23:44 |

6月25日はOpNorthKoreaとして北朝鮮のWebサイトがDoS攻撃を受けた一方、韓国でも複数のWebサイトが改ざんされる等の被害を受けています。ここでは韓国で発生したサイバー攻撃に関する情報をまとめます。

尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog

尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。

概要

2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。

被害を受けたWebサイト

今回のサイバー攻撃では複数の政府機関、政党、メディア（未来創造科学部によれば全16組織）が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*1

• (1) 大統領府(青瓦台) president.go.kr
  • トップ画面が改ざんされた。
  • カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*2
  • 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
  • 10分間、別のメッセージ「統一大統領金正恩将軍様万歳！　われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
  • 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
    全部で20万件程度の個人情報リストが公開。*3
  • 大統領府サイトが被害を受けるのは2009年以来4年目。
  • 改ざんされたトップページに掲載された画像
    

• (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
  • トップ画面が改ざんされた。

• (3) 安全行政部 www.mnd.go.kr
  • Webサイトの接続障害が発生した。

• (4) 未来創造科学部
  • Webサイトの接続障害が発生した。

• (5) 統一部
  • Webサイトの接続障害が発生した。

• (6) 保健福祉部 www.mw.go.kr
  • 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。

• (7) セヌリ党
  • 以下8つの市・道党サイトが不正アクセスを受け、Webサイトが接続不可、または「UNDER CONSTRUCTION」と表示された。
    • ソウル seoul.saenuriparty.kr
    • 京畿 www.visiongg.com
    • 仁川 www.hannaraincheon.or.kr
    • 釜山 busan.saenuriparty.kr
    • 蔚山 ulsan.saenuriparty.kr
    • 慶南派閥 gyeongnam.saenuriparty.kr
    • 済州島 jeju.saenuriparty.kr
    • 慶派閥 www.gbsaenuri.kr
    • 江原道 www.hangangwon.org/ O

• (8) eトゥデイ www.etoday.co.kr
  • Webサイトの接続障害が発生した。

• (9) スポーツ・ソウル www.sportsseoul.com
  • Webサイトの接続障害が発生した。

• (10) 毎日(メイル)新聞 www.imaeil.com
  • 記事作成・送信システムがダウンした。

• (11) 大邱(テグ)日報 www.idaegu.com
  • 記事作成・送信システムがダウンした。

• サイバー攻撃ではなかったとされている同日接続不可になっていたサイト(いずれもアクセス過多による接続障害であり、DoS攻撃を受けた可能性が高い。)
  • 国家情報院 www.nis.go.kr
  • 朝鮮日報 www.chosun.com

Webサイト改ざんを介して漏えいした個人情報

NSHCによれば下記6つの個人情報が流出したと報告しています。

• セヌリ党 党員の個人情報 250万人
• 国防部 軍将兵の個人情報 30万人
• 大統領府 登録の個人情報 20万人
• 米軍
  • 25師団所属の個人情報 1万5千人
  • 第3海兵師団の個人情報 1万人
  • 第1機兵団を特定できる情報 1万5千人

使用されたマルウェア

今回被害を受けた大統領府等へのDoS攻撃にマルウェアが使われたと報じられています。

ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられており、自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*4 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。

またAhnLabによれば、今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、WebサイトへアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*5、セヌリ党のサイトへ行われていたとのことです。

マルウェアの情報

• Malwareの自動解析レポート
  • https://malwr.com/analysis/YmU1ZGEwY2VjYzdmNDJkZjllM2I2ZTRlZDFjOWEyOWI/

• Virustotal (Detection 19/47 :date 2013-06-26 05:37:47 UTC)
  • https://www.virustotal.com/en/file/00892dd0998bcf2ae29f1eb97a965541afa505cda57da2226cae0e9786970009/analysis/

マルウェアの特徴

• Sandbox上での分析等様々なマルウェア検知技術を回避するため、themida packerが用いられていた。
• Torを利用して通信をしていた。
• DNSサーバーに対してDoSを行っていた。

マルウェアを分析している組織による情報

• TrendMicro
  • Compromised Auto-Update Mechanism Affects South Korean Users (魚拓)
  • 韓国への大規模サイバー攻撃、正規ソフトの自動更新機能が関連―トレンドマイクロ (魚拓)

• AhnLab
  • 안랩, ”일부 정부기관 디도스 공격” 분석내용 중간발표
  • 안랩, 웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인
  • 안랩, 좀비 PC 예방 10계명 발표
  • 웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인
  • 6.25 DDoS 공격에 사용된 악성코드 상세 분석

• nProtect
  • ［긴급］6.25 사이버전, 국내와 북한 주요 사이트 사이버공격

• hauri
  • 6.25 사이버 공격!!
  • （PDF）악성코드 상세 분석 보고서 ［6∙25 사이버 DDoS 공격 악성코드］

• FireEye
  • (PDF/要登録)6.25 Cyber Attack Analysis Report_ver1.0

• NSHC
  • （PDF）2013. 06. 25일 발생한 사이버테러 분석 보고서 최종본 배포합니다

この件を受けて韓国政府の対応

• サイバー危機警報のレベルを「注意」に変更。
• 政府合同調査チームによる被害組織を対象にした不正アクセスの原因、経路を調査するため、マルウェアを分析。
• 継続的なサイバー攻撃に備え、民間、政府組織に対し、インターネットに設置されたサーバーの脆弱性チェック、セキュリティ対策強化並びに被害発生時の速やかな通報を要請。
• マルウェアの通信先をを遮断。
• 個人情報が掲載されていた3か所のWebサイトを遮断。

KISAのプレスリリース:*6 *7

時系列まとめ

06/25	9時10分頃	大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。
	10時頃	大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。
	10時頃	大統領府サイトがシステム緊急点検が始まりアクセス不可になった。
	10時45分	政府はサイバー危機「関心」警報(5段階中2段階目)を発令*8
	10時45分	軍は情報作戦防護体制（INFOCON）を準備体制段階である4へ一段階格上げ。*9
	11時半	セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。
	11時50分頃	政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。
	午前	毎日新聞、大邱日報の新聞二社の記事作成・送信システムが接続不可能に。
	14時41分	保健福祉部のWebサイトがサービス停止した。*10
	15時半頃	大統領府サイトで緊急復旧作業が行われ正常状態に復旧。
	午後?	未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。
	15時40分	政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。
	15時40分	保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。
	17時30分	未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。*11

参考元情報:*12 *13

Anonymousとの関連

一連の改ざん行為の中で次のような内容が今回のサイバー攻撃では見受けられており、Anonymousとして活動している人間の関与も疑われています。ただし、改ざん画像にも名前が掲載されていたOpNorthKoreaを主導していた@Anonsjは韓国で発生したサイバー攻撃への関与は否定するつぶやきをしています。また韓国では6月25日に行われることが予告されていたOpNorthKoreaに対する報復攻撃ではないかと推定しているようです。*14

• 今回の改ざん行為を行ったと主張するTwitterアカウント(@hacktivist_kor)がAnonymousの活動を行っているとも主張してた。(現在アカウントは凍結中)
• @hacktivist_korはインターネット規制や大統領選挙に関して非難するつぶやきをしていた。*15
• ガイフォークスのマスクが改ざんされたトップページの画像の中にガイフォークスのマスクをかぶった人間が行進しているシーンが埋め込まれていた。
• 大統領府のサイトに「Hacked by Anonymous」と画像やカテゴリ名が改ざんされた。
• 個人情報が掲載された先に#OPKOREAとAnonymousによるOperationを想像させる名称がつけられていた。

韓国で発生したサイバー攻撃の関与を否定するつぶやき

その他

「Bondra James」といったユーザーが一連の改ざん行為を紹介する動画として、「Processing about attacking the ChongWaDae site.」を公開しました。ただし、この動画は運営元によりポリシー違反としてすぐ削除されたようで現在閲覧することは出来ません。

未来創造科学部は6月26日時点において当該動画を解析中であることを報告しています。

更新履歴

• 2013/06/26 PM 新規作成

ツイートする