piyolog

6月25日に発生した韓国へのサイバー攻撃をまとめてみた。

インシデントまとめ | 23:44 |

6月25日はOpNorthKoreaとして北朝鮮のWebサイトがDoS攻撃を受けた一方、韓国でも複数のWebサイトが改ざんされる等の被害を受けています。ここでは韓国で発生したサイバー攻撃に関する情報をまとめます。

尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog

尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。

概要

2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。

被害を受けたWebサイト

今回のサイバー攻撃では複数の政府機関、政党、メディア（未来創造科学部によれば全16組織）が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*1

• (1) 大統領府(青瓦台) president.go.kr
  • トップ画面が改ざんされた。
  • カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*2
  • 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
  • 10分間、別のメッセージ「統一大統領金正恩将軍様万歳！　われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
  • 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
    全部で20万件程度の個人情報リストが公開。*3
  • ログファイルが改ざんされた。*4
  • 大統領府サイトが被害を受けるのは2009年以来4年目。
  • 改ざんされたトップページに掲載された画像
    

• (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
  • トップ画面が改ざんされた。

• (3) 安全行政部 www.mnd.go.kr
  • Webサイトの接続障害が発生した。

• (4) 未来創造科学部
  • Webサイトの接続障害が発生した。

• (5) 統一部
  • Webサイトの接続障害が発生した。

• (6) 保健福祉部 www.mw.go.kr
  • 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。

• (7) セヌリ党
  • 以下8つの市・道党サイトが不正アクセスを受け、Webサイトが接続不可、または「UNDER CONSTRUCTION」と表示された。
    • ソウル seoul.saenuriparty.kr
    • 京畿 www.visiongg.com
    • 仁川 www.hannaraincheon.or.kr
    • 釜山 busan.saenuriparty.kr
    • 蔚山 ulsan.saenuriparty.kr
    • 慶南派閥 gyeongnam.saenuriparty.kr
    • 済州島 jeju.saenuriparty.kr
    • 慶派閥 www.gbsaenuri.kr
    • 江原道 www.hangangwon.org/ O

• (8) eトゥデイ www.etoday.co.kr
  • Webサイトの接続障害が発生した。

• (9) スポーツ・ソウル www.sportsseoul.com
  • Webサイトの接続障害が発生した。

• (10) 毎日(メイル)新聞 www.imaeil.com
  • 記事作成・送信システムがダウンした。(大邱日報と同じシステムを利用。)

• (11) 大邱(テグ)日報 www.idaegu.com
  • 記事作成・送信システムがダウンした。(毎日新聞と同じシステムを利用。)

• (12) 日刊ベストストア（イルベ）www.ilbe.com
  • 掲示板のコンテンツが「Hacked by anorymous_kor,anonsj,anonymous」と改ざんされた。*5
  • DoS攻撃を受け接続障害が発生した。

• サイバー攻撃ではなかったとされている同日接続不可になっていたサイト(いずれもアクセス過多による接続障害であり、DoS攻撃を受けた可能性があります。)
  • 国家情報院 www.nis.go.kr
  • 朝鮮日報 www.chosun.com

• 大量のDNSリクエストによりDoS攻撃を受けたサーバー
  • 大田政府統合電算センター（*.gcc.go.kr 152.99.200.6:53）

Webサイト改ざんを介して漏えいした個人情報

NSHCによれば下記6つの個人情報が流出したと報告しています。

• 韓国政府
  • セヌリ党 党員の個人情報 250万人
  • 国防部 軍将兵の個人情報 30万人
  • 大統領府 登録の個人情報 20万人

• 米軍
  • 25師団所属の個人情報 1万5千人
  • 第3海兵師団の個人情報 1万人
  • 第1機兵団を特定できる情報 1万5千人

6.25 サイバー攻撃の手口

今回のサイバー攻撃として現在確認されている手口は次の４つです。

• (1) マルウェアを用いたDNSサーバーへの大量リクエストを用いたDoS攻撃
• (2) 正規サイトへ悪性スクリプトを埋め込み、閲覧者を使って行われるWebサーバーへのDoS攻撃
• (3) Wiperマルウェアを用いたデータ破壊・削除
• (4) 政府Webサイトの改ざんによる示威行為

政府組織のWebサイトが相次いてアクセス不可となった理由はDNSサーバーへ行われたDoS攻撃によるものと考えられます。

またBot化する際に用いられたマルウェアは、ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられたものでした。自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*6 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。

さらに今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、Webサイト(www.habang.co.kr)へアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*7、セヌリ党のサイトへ行われていたとのことです。

また、ハードディスクを破壊するマルウェアの存在についてもインカインターネットやAhnLabが報告しています。このデータを破壊するマルウェアは報道機関等が影響を受けたことをKISAが認めたと報じられています。*8

検体名

• (1) DoSマルウェア
  • TROJ_DIDKR.A (TrendMicro)
  • Trojan.Castov,Trojan.Castdos (Symantec)
  • Trojan/W32.KRDDoS (nProtect)
  • Trojan/Win32.Ddkr,Trojan/Win32.XwDoor (AhnLab)

• (2) Wiperマルウェア
  • Trojan.Korhigh (Symantec)
  • Trojan/Win32.Ddkr,Trojan/Agent.245760.OX (AhnLab)

特徴

• (1) DoSマルウェア
  • Sandbox上での分析等様々なマルウェア検知技術を回避するため、themida packerが用いられていた。
  • Torを利用して通信をしていた。
  • DNSサーバーに対してDoSを行っていた。

• (2) Wiperマルウェア
  • ユーザーアカウントのパスワードを「highanon2013」に変更する。
  • 3.20大乱で用いられたWiperよりも強力なWipe機能を持つ。(ファイルリネーム後ファイル削除等)
  • 「High Anonymous」を示すデスクトップ画像に変更する。
    

構成

• (1) DoSマルウェア

No	ファイル名	機能	Themida Packing	ファイルサイズ(byte)	MD5 Hash	VirusTotal
1	SimDisk_setup.exe songsari_setup.exe	SimDiskUp.exeと正規のSimDisk_setup.exeをドロップする。 自動更新対象となっていた正規のサーバー上のSimDisk_setup.exeを置き換えられたマルウェア。	N/A	19,713,351 (SimDisk) 10.7MB (songsari)	d9e211d1e05b50e1021e55110298dff5 (SimDisk)	20/43(2013-06-26 01:12:22 UTC) (SimDisk)
2	SimDiskUp.exe	ダウンローダー。通信先No.1のサーバーよりd.Jpg/c.jpgを取得する。	N/A	950,784	27838d9f0f1befd7af151f1b73ad7720	19/40(2013-06-26 05:37:47 UTC)
3	d.Jpg/c.jpg (~SimDisk.exeに改名)	ダウンローダー。画像拡張子だが実行形式ファイル。 No.5のダウンローダーやNo.6のTorの実行ファイルを展開する。	○	3,396,096	98e0daafceb50d04828790cc344881d9	24/46(2013-06-28 07:25:34 UTC)
4	~E8536.bat	~simdisk.exe実行後に自信を削除する。	−	N/A	N/A	N/A
5	(ランダム).exe	Tor通信を行うモジュール。config.iniが付属。Torのバージョンは0.2.3.25	N/A	N/A	N/A	N/A
6	(ランダム).exe	通信先No.2のサーバーからsermgr.exeをTor経由で取得する。	○	N/A	N/A	N/A
7	sermgr.exe	~ER(ランダムな数字).tmpと~DR(ランダムな数字).tmpを展開する。 ~ER(ランダムな数字).tmpはWindows Vista以降の場合作成する。	N/A	4,383,232	d97aef01ac94d2c7654033caa707a59f	18/45(2013-06-26 06:14:05 UTC)
8	~ER(ランダムな数字).tmp	64bitWindowsにおいてUAC機能を無効化する。	N/A	215,048	N/A	N/A
9	~DR(ランダムな数字).tmp	ole(Windowsサービス名).dllを作成し、Windowsサービスとして登録する。	N/A	1,995,776(32bit) 146,170(64bit)	0ff67e022fa9ce7056316ceff82a80a8(32bit)	12/46(2013-06-26 05:38:09 UTC)(32bit)
10	up.bat	~DR7.tmpが正常に実行された後に作成され2つの.tmpを削除する。	−	N/A	N/A	N/A
11	ole(Windowsサービス名).dll*9	通信先No.3のサーバーよりCT.jpgを取得し、特定の条件後wuauieop.exeを作成し実行する。	N/A	936,448	13b4617013f22f9eba25be0b6ab2a7a8	13/46(2013-06-27 05:10:19 UTC)
12	CT.jpg	DoS攻撃のタイムスタンプとなるデータ。	N/A	N/A	N/A	N/A
13	wuauieop.exe	大量のDNSリクエストを送出し、DNSサーバーへDoS攻撃を行う。	○	847,872	f60935e852d0c7bcffaa54dda15d009a	26/47(2013-06-26 05:42:17 UTC)

• (2) Wiperマルウェア

No	ファイル名	機能	Themida Packing	ファイルサイズ(byte)	MD5 Hash	VirusTotal
1	rdpshellex.exe	システム情報の送信、サービスの停止、デスクトップの変更、リネーム後ファイル削除・データ破壊・MBR破壊を行う。	N/A	245,760	N/A	N/A
2	(ランダム).tmp.bat	ユーザーパスワードの変更を行う。	−	N/A	N/A	N/A
3	desktop_image001.bmp	デスクトップ変更に使われる画像ファイル。	−	N/A	N/A	N/A

　

配布元・通信先

• (1) DoSマルウェア
  • 配布元
    • www.simdisk.co.kr/app/simdisk_setup.exe
    • www.songsari.com
  • 通信先
    • No.1 www.habang.co.kr/images/korea/c.jpg(or d.Jpg)（211.196.153.24）
    • No.2 Torで接続するサーバー(詳細不明)
    • No.3 webmail.genesyshost.com/mail/

• (2) Wiperマルウェア
  • 配布元
    • N/A
  • 通信先
    • No.1 112.217.190.218:8080
    • No.2 210.127.39.29:80
    • No.3 20.**.9.**:443

マルウェアを分析している組織による情報

• TrendMicro
  • Compromised Auto-Update Mechanism Affects South Korean Users (魚拓)
  • 韓国への大規模サイバー攻撃、正規ソフトの自動更新機能が関連―トレンドマイクロ (魚拓)
  • 韓国への大規模サイバー攻撃続報：政府系WebサイトをダウンさせたDDoS攻撃の全貌

• AhnLab
  • 안랩, ”일부 정부기관 디도스 공격” 분석내용 중간발표
  • 안랩, 웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인
  • 안랩, 좀비 PC 예방 10계명 발표
  • 웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인
  • 6.25 DDoS 공격에 사용된 악성코드 상세 분석
  • 안랩, 하드디스크 파괴 악성코드 상세분석결과 중간 발표

• nProtect
  • ［긴급］6.25 사이버전, 국내와 북한 주요 사이트 사이버공격

• hauri
  • 6.25 사이버 공격!!
  • （PDF）악성코드 상세 분석 보고서 ［6∙25 사이버 DDoS 공격 악성코드］
  • 6.25 사이버테러 HDD 파괴형 악성코드
  • （PDF）악성코드 상세 분석 보고서［HDD 파괴형 악성코드］

• FireEye
  • (PDF/要登録)6.25 Cyber Attack Analysis Report_ver1.0

• NSHC
  • （PDF）Cyber terror analysis report ［6.25 Cyber terror analysis］

• Symantec
  • 韓国に対して 4 年間続いた DarkSeoul のサイバー攻撃、朝鮮戦争の開戦記念日にも続く
  • 韓国への攻撃で見つかった新しい Wiper

この件を受けて韓国政府の対応

• サイバー危機警報のレベルを「注意」に変更。
• 政府合同調査チームによる被害組織を対象にした不正アクセスの原因、経路を調査するため、マルウェアを分析。
• 継続的なサイバー攻撃に備え、民間、政府組織に対し、インターネットに設置されたサーバーの脆弱性チェック、セキュリティ対策強化並びに被害発生時の速やかな通報を要請。
• マルウェアの通信先をを遮断。
• 個人情報が掲載されていた3か所のWebサイトを遮断。

KISAのプレスリリース:*10 *11

時系列まとめ

06/25	9時10分頃	大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。
	10時頃	大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。
	10時頃	大統領府サイトがシステム緊急点検が始まりアクセス不可になった。
	10時半頃	新聞2社が使用する記事送稿システムが使用不可となった。*12
	10時45分	政府はサイバー危機「関心」警報(5段階中2段階目)を発令*13 *14
	10時45分	軍は情報作戦防護体制（INFOCON）を準備体制段階である4へ一段階格上げ。*15
	11時半	セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。
	11時50分頃	政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。
	午前中	毎日新聞、大邱日報の新聞二社の記事作成・送信システムが接続不可能に。
	午前中	大統領府サイトが掲示板や会員向け機能等部分的停止をした上で再開。
	午前中	警察がサイバー攻撃を受けた新聞社へ捜査員を派遣。*16
	14時41分	保健福祉部のWebサイトがサービス停止した。*17
	15時半頃	大統領府サイトで緊急復旧作業が行われ正常状態に復旧。
	午後?	未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。
	15時40分	政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。*18
	15時40分	保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。
	16時頃	日刊ベストストアで不正アクセスが行われ約1時間程度サイト上で障害が発生した。
	17時30分	未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。*19
	18時頃	日刊ベストストアでデータ改ざんが確認され、サービスを中断。
	20時半	SimDiskのWebサイトが障害発生のためサービスを停止。*20
	22時頃	一部サイトを除き接続障害が出ていたWebサイトが復旧。
6/26	未明	日刊ベストストアでサービス開始後からDoS攻撃が開始された。
	9時頃	日刊ベストストアでサービスが再開。DoS攻撃は継続中。
	17:26	KISAが今回のサイバー攻撃に使われたマルウェア専用のワクチンソフトを配布開始。*21 *22
6/27	午前中	インカインターネットがWiperマルウェアの存在を確認。

参考元情報:*23 *24

Anonymousとの関連

一連の改ざん行為の中で次のような内容が今回のサイバー攻撃では見受けられており、Anonymousとして活動している人間の関与も疑われています。ただし、改ざん画像にも名前が掲載されていたOpNorthKoreaを主導していた@Anonsjは韓国で発生したサイバー攻撃への関与は否定するつぶやきをしています。また韓国では6月25日に行われることが予告されていたOpNorthKoreaに対する報復攻撃ではないかと推定しているようです。*25

• 今回の改ざん行為を行ったと主張するTwitterアカウント(@hacktivist_kor)がAnonymousの活動を行っているとも主張してた。(現在アカウントは凍結中)
• @hacktivist_korはインターネット規制や大統領選挙に関して非難するつぶやきをしていた。*26
• ガイフォークスのマスクが改ざんされたトップページの画像の中にガイフォークスのマスクをかぶった人間が行進しているシーンが埋め込まれていた。
• 大統領府のサイトに「Hacked by Anonymous」と画像やカテゴリ名が改ざんされた。
• 個人情報が掲載された先に#OPKOREAとAnonymousによるOperationを想像させる名称がつけられていた。

韓国で発生したサイバー攻撃の関与を否定するつぶやき

その他

「Bondra James」といったユーザーが一連の改ざん行為を紹介する動画として、2分間の映像「Processing about attacking the ChongWaDae site.」を公開しました。ただし、この動画は運営元によりポリシー違反としてすぐ削除されたようで現在閲覧することは出来ません。また映像中で改ざん行為が紹介されていた日付は6月24日でした。*27

未来創造科学部は6月26日時点において当該動画を解析中であることを報告しています。

更新履歴

• 2013/06/26 PM 新規作成
• 2013/06/27 AM 関連情報を追加
• 2013/06/27 PM 関連情報を追加
• 2013/06/28 PM 最新情報を追加

ツイートする