piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

6月25日と7月1日に発生した韓国へのサイバー攻撃をまとめてみた。

6月25日はOpNorthKoreaとして北朝鮮のWebサイトがDoS攻撃を受けた一方、韓国でも複数のWebサイトが改ざんされる等の被害を受けています。ここでは韓国で発生したサイバー攻撃に関する情報をまとめます。

尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog

尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。

概要

2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。また7月1日に複数のサイトが改ざんされる被害を受けました。

韓国へのサイバー攻撃の全体概要

No 発生日 種類 被害対象 概要
1 6/25 HP改ざん 大統領府
国務調整室
他2サイト
画像が埋め込まれる等トップページが改ざんされた。
2 6/25 (D)DoS 大田政府統合電算センター DoSマルウェアBot化した端末から韓国政府関連のDNSサーバーがDoS攻撃を受け、政府サイトへの接続障害が発生した。
3 6/25 情報漏えい 大統領府
国防部
セヌリ党
米軍
政府サイトから入手したと思われる会員、党員、軍関係者の個人情報のリスト30万人分以上が外部サーバーに掲載された。
4 6/25 システム停止 毎日新聞
大邱日報
何らかの攻撃を受けたことにより記事送稿システムが停止した。
(Wipeするマルウェアの被害を受けた可能性)
5 6/25 HP改ざん 日刊ベストストア HPの一部コンテンツが改ざんされた。
6 6/25 HP改ざん
(D)DoS
日刊ベストストア
ハバン
大統領府
国家情報院
セヌリ党
日刊ベストストアやハバンのHPが改ざんされ、閲覧するだけで大統領府、国家情報院、セヌリ党サイトへDoSを行うスクリプトが埋め込まれた。
7 7/01 HP改ざん 国内30サイト以上 画像が埋め込まれる等トップページが改ざんされた。
8 7/01 マルウェア拡散 グループウェアを利用する一部の企業(詳細不明) グループウェアにiFrame経由でマルウェアが仕込まれ、それを利用する企業がHPの改ざん被害を受けた。
9 7/01 DoS 今日のユーモア 約40GpbsのDoS攻撃を受け接続障害が発生した。7/2現在も攻撃を受けている模様。

時系列まとめ

06/25 9時10分頃 大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。
  10時頃 大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。
  10時頃 大統領府サイトがシステム緊急点検が始まりアクセス不可になった。
  10時半頃 新聞2社が使用する記事送稿システムが使用不可となった。*1
  10時45分 政府はサイバー危機「関心」警報(5段階中2段階目)を発令*2 *3
  10時45分 軍は情報作戦防護体制(INFOCON)を準備体制段階である4へ一段階格上げ。*4
  11時半 セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。
  11時50分頃 政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。
  午前中 毎日新聞大邱日報の新聞二社の記事作成・送信システムが接続不可能に。
  午前中 大統領府サイトが掲示板や会員向け機能等部分的停止をした上で再開。
  午前中 警察がサイバー攻撃を受けた新聞社へ捜査員を派遣。*5
  14時41分 保健福祉部のWebサイトがサービス停止した。*6
  15時半頃 大統領府サイトで緊急復旧作業が行われ正常状態に復旧。
  午後? 未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。
  15時40分 政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。*7
  15時40分 保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。
  16時頃 日刊ベストストアで不正アクセスが行われ約1時間程度サイト上で障害が発生した。
  17時30分 未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。],聯合ニュース,2013/06/26アクセス:魚拓">*8
  18時頃 日刊ベストストアでデータ改ざんが確認され、サービスを中断。
  20時半 SimDiskのWebサイトが障害発生のためサービスを停止。*9
  22時頃 一部サイトを除き接続障害が出ていたWebサイトが復旧。
6/26 未明 日刊ベストストアでサービス開始後からDoS攻撃が開始された。
  9時頃 日刊ベストストアでサービスが再開。DoS攻撃は継続中。
  17:26 KISAが今回のサイバー攻撃に使われたマルウェア専用のワクチンソフトを配布開始。*10 *11
6/27 午前中 インカインターネットがWiperマルウェアの存在を確認。
7/01 午前中 韓国内の複数のWebサイトが改ざんされた。
7/01 不明 「今日のユーモア」サイトがDoS攻撃を受け接続障害が発生した。

参考元情報:*12 *13

被害を受けたWebサイト

今回のサイバー攻撃では複数の政府機関、政党、メディア(未来創造科学部によれば全16組織)が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*14

  • (1) 大統領府(青瓦台) president.go.kr
    • トップ画面が改ざんされた。
    • カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*15
    • 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
    • 10分間、別のメッセージ「統一大統領金正恩将軍様万歳! われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
    • 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
      全部で20万件程度の個人情報リストが公開。*16
    • ログファイルが改ざんされた。*17
    • 大統領府サイトが被害を受けるのは2009年以来4年目。
    • 改ざんされたトップページに掲載された画像
  • (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
    • トップ画面が改ざんされた。
  • (3) 安全行政部 www.mnd.go.kr
    • Webサイトの接続障害が発生した。
  • (4) 未来創造科学部
    • Webサイトの接続障害が発生した。
  • (5) 統一部
    • Webサイトの接続障害が発生した。
  • (6) 保健福祉部 www.mw.go.kr
    • 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。
  • (7) セヌリ党
    • 以下8つの市・道党サイトが不正アクセスを受け、Webサイトが接続不可、または「UNDER CONSTRUCTION」と表示された。
      • ソウル seoul.saenuriparty.kr
      • 京畿 www.visiongg.com
      • 仁川 www.hannaraincheon.or.kr
      • 釜山 busan.saenuriparty.kr
      • 蔚山 ulsan.saenuriparty.kr
      • 慶南派閥 gyeongnam.saenuriparty.kr
      • 済州島 jeju.saenuriparty.kr
      • 慶派閥 www.gbsaenuri.kr
      • 江原道 www.hangangwon.org/
  • (8) eトゥデイ www.etoday.co.kr
    • Webサイトの接続障害が発生した。
  • (9) スポーツ・ソウル www.sportsseoul.com
    • Webサイトの接続障害が発生した。
  • (10) 毎日(メイル)新聞 www.imaeil.com
    • 記事作成・送信システムがダウンした。(大邱日報と同じシステムを利用。)
  • (11) 大邱(テグ)日報 www.idaegu.com
    • 記事作成・送信システムがダウンした。(毎日新聞と同じシステムを利用。)
  • (12) 日刊ベストストア(イルベ)www.ilbe.com
    • 掲示板のコンテンツが「Hacked by anorymous_kor,anonsj,anonymous」と改ざんされた。*18
    • DoS攻撃を受け接続障害が発生した。
  • サイバー攻撃ではなかったとされている同日接続不可になっていたサイト(いずれもアクセス過多による接続障害であり、DoS攻撃を受けた可能性があります。)
  • 大量のDNSリクエストによりDoS攻撃を受けたサーバー
    • 大田政府統合電算センター(*.gcc.go.kr 152.99.200.6:53)

Webサイト改ざんを介して漏えいした個人情報

NSHCによれば下記6つの個人情報が流出したと報告しています。

  • 韓国政府
    • セヌリ党 党員の個人情報 250万人
    • 国防部 軍将兵の個人情報 30万人
    • 大統領府 登録の個人情報 20万人
  • 米軍
    • 25師団所属の個人情報 1万5千人
    • 第3海兵師団の個人情報 1万人
    • 第1機兵団を特定できる情報 1万5千人

6.25 サイバー攻撃の手口

今回のサイバー攻撃として現在確認されている手口は次の4つです。

政府組織のWebサイトが相次いてアクセス不可となった理由はDNSサーバーへ行われたDoS攻撃によるものと考えられます。
またBot化する際に用いられたマルウェアは、ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられたものでした。自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*19 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。

さらに今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、Webサイト(www.habang.co.kr)へアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*20セヌリ党のサイトへ行われていたとのことです。

また、ハードディスクを破壊するマルウェアの存在についてもインカインターネットやAhnLabが報告しています。このデータを破壊するマルウェアは報道機関等が影響を受けたことをKISAが認めたと報じられています。*21

検体名
特徴
  • (1) DoSマルウェア
    • Sandbox上での分析等様々なマルウェア検知技術を回避するため、themida packerが用いられていた。
    • Torを利用して通信をしていた。
    • DNSサーバーに対してDoSを行っていた。
  • (2) Wiperマルウェア
    • ユーザーアカウントのパスワードを「highanon2013」に変更する。
    • 3.20大乱で用いられたWiperよりも強力なWipe機能を持つ。(ファイルリネーム後ファイル削除等)
    • 「High Anonymous」を示すデスクトップ画像に変更する。
構成
No ファイル名 機能 Themida Packing ファイルサイズ(byte) MD5 Hash VirusTotal
1 SimDisk_setup.exe
songsari_setup.exe
SimDiskUp.exeと正規のSimDisk_setup.exeをドロップする。
自動更新対象となっていた正規のサーバー上のSimDisk_setup.exeを置き換えられたマルウェア
N/A 19,713,351
(SimDisk)

10.7MB
(songsari)
d9e211d1e05b50e1021e55110298dff5
(SimDisk)
20/43(2013-06-26 01:12:22 UTC)
(SimDisk)
2 SimDiskUp.exe ダウンローダー。通信先No.1のサーバーよりd.Jpg/c.jpgを取得する。 N/A 950,784 27838d9f0f1befd7af151f1b73ad7720 19/40(2013-06-26 05:37:47 UTC)
3 d.Jpg/c.jpg
(~SimDisk.exeに改名)
ダウンローダー。画像拡張子だが実行形式ファイル。
No.5のダウンローダーやNo.6のTorの実行ファイルを展開する。
3,396,096 98e0daafceb50d04828790cc344881d9 24/46(2013-06-28 07:25:34 UTC)
4 ~E8536.bat ~simdisk.exe実行後に自信を削除する。 N/A N/A N/A
5 (ランダム).exe Tor通信を行うモジュール。config.iniが付属。Torのバージョンは0.2.3.25 N/A N/A N/A N/A
6 (ランダム).exe 通信先No.2のサーバーからsermgr.exeをTor経由で取得する。 N/A N/A N/A
7 sermgr.exe ~ER(ランダムな数字).tmpと~DR(ランダムな数字).tmpを展開する。
~ER(ランダムな数字).tmpはWindows Vista以降の場合作成する。
N/A 4,383,232 d97aef01ac94d2c7654033caa707a59f 18/45(2013-06-26 06:14:05 UTC)
8 ~ER(ランダムな数字).tmp 64bitWindowsにおいてUAC機能を無効化する。 N/A 215,048 N/A N/A
9 ~DR(ランダムな数字).tmp ole(Windowsサービス名).dllを作成し、Windowsサービスとして登録する。 N/A 1,995,776(32bit)
146,170(64bit)
0ff67e022fa9ce7056316ceff82a80a8(32bit) 12/46(2013-06-26 05:38:09 UTC)(32bit)
10 up.bat ~DR7.tmpが正常に実行された後に作成され2つの.tmpを削除する。 N/A N/A N/A
11 ole(Windowsサービス名).dll*22 通信先No.3のサーバーよりCT.jpgを取得し、特定の条件後wuauieop.exeを作成し実行する。 N/A 936,448 13b4617013f22f9eba25be0b6ab2a7a8 13/46(2013-06-27 05:10:19 UTC)
12 CT.jpg DoS攻撃のタイムスタンプとなるデータ。 N/A N/A N/A N/A
13 wuauieop.exe 大量のDNSリクエストを送出し、DNSサーバーへDoS攻撃を行う。 847,872 f60935e852d0c7bcffaa54dda15d009a 26/47(2013-06-26 05:42:17 UTC)
No ファイル名 機能 Themida Packing ファイルサイズ(byte) MD5 Hash VirusTotal
1 rdpshellex.exe システム情報の送信、サービスの停止、デスクトップの変更、リネーム後ファイル削除・データ破壊・MBR破壊を行う。 N/A 245,760 0708a979a5c7c3a0450b7ddc37faead7 21/47(2013-07-02 17:45:35 UTC)
2 (ランダム).tmp.bat ユーザーパスワードの変更を行う。 N/A N/A N/A
3 desktop_image001.bmp デスクトップ変更に使われる画像ファイル。 N/A N/A N/A

 

配布元・通信先
  • (1) DoSマルウェア
    • 配布元
      • www.simdisk.co.kr/app/simdisk_setup.exe
      • www.songsari.com
    • 通信先
      • No.1 www.habang.co.kr/images/korea/c.jpg(or d.Jpg)(211.196.153.24)
      • No.2 Torで接続するサーバー(詳細不明)
      • No.3 webmail.genesyshost.com/mail/
  • (2) Wiperマルウェア
    • 配布元
      • N/A
    • 通信先
      • No.1 112.217.190.218:8080
      • No.2 210.127.39.29:80
      • No.3 20.**.9.**:443

この件を受けて韓国政府の対応

  • サイバー危機警報のレベルを「注意」に変更。
  • 政府合同調査チームによる被害組織を対象にした不正アクセスの原因、経路を調査するため、マルウェアを分析。
  • 継続的なサイバー攻撃に備え、民間、政府組織に対し、インターネットに設置されたサーバーの脆弱性チェック、セキュリティ対策強化並びに被害発生時の速やかな通報を要請。
  • マルウェアの通信先をを遮断。
  • 個人情報が掲載されていた3か所のWebサイトを遮断。

KISAのプレスリリース:*23 *24

7月1日に発生した複数のサイトにおけるHP改ざん

7月1日に韓国内の複数のサイトで画像が埋め込まれたり、メッセージが書き込まれるといった被害が発生しました。KISAの発表によれば30サイトが被害を受けたとのことで、INCAのレポートでも10サイトのURLがリストに掲載されています。具体的な改ざん方法、経緯は明らかとなっていませんが、インカによれば被害を受けたサイトが多数で在った理由はグループウェアを利用している一部の企業ではiFrame経由でマルウェアが送り込まれたためとの報告がされています。

[긴급]7.1 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # 130701-21

インカレポートに掲載されていたURL

(サイト名はGoogle翻訳から直接引用。)

改ざんの内容

改ざんされたサイトは次の様なメッセージと画像が書き込まれた状態となっていたところが多かったようです。

  • 埋め込まれた画像

  • 書き込まれていたメッセージ

Hacked by High Anonymous
(画像)

Follow us

                                                                  • -

#HighAnonymous
@AnonHigh
@anon_high
@HighAnon2
www.facebook.com/HighAnonymous

改ざんで示されていたSNSについて

改ざんされたサイトに記載されていたSNSサービスを参照してみました。Twitterアカウントが3つ、ハッシュタグが1つ、Facebookが1つ示されています。

Twitterアカウントは@AnonHighをメインで利用しているようで、他2つは何もつぶやかれていません。またいずれも2013年7月1日に取得されたアカウントです。

  • @AnonHighは7月1日だけつぶやきを行っている。

  • バックアップアカウントと思われる他2つ(@HighAnon2@anon_high)は何も投稿していない。


 
Twitterアカウントには「@HighAnon2」というアカウント名がとられていましたが、「@HighAnon」はこの件とは恐らく関係ない人が既に使用しているアカウントであったためと思われます。また3つも取得した理由は以前同一人物が使用していたと考えられる「High_Anon」が凍結措置を受けており、再度凍結を受けた際のバックアップアカウントとしての意味もあったのではないかと考えられます。

  • @High_Anonは6月25日の改ざんについて自身が行ったと主張していた。当該アカウントは既に凍結済み。2013年6月26日時点で凍結前のキャッシュが残っていたことは確認しています。また背景は「@HighAnon2」と同じものが使われていたようです。プロフィールの説明文は「@High_Anon」は「We are Anonymous」と書いてありましたが、7月1日に作成された「@AnonHigh」は「We are HighAnonymous」となっており、後者はAnonymousよりも高位にあるかのような主張がされています。


 
ハッシュタグ(#HighAnonymous)はこれら3つのアカウントからのつぶやきはありません。以前から使われていたものでもないため、改ざんを行った当人がどのような反響があるかを把握すべく設定したタグと思われます。

 
さらにFacebookにもアカウントを取得しています。アカウントを作成した日時は2013年6月30日9時38分、翌7月1日20時にはカバー写真をWiperマルウェアでデスクトップの変更が行われる画像と同一のものを設定しています。

作成された日時等から改ざんを行う直前に用意したものと考えられます。また、埋め込まれた画像やメッセージからAnonymousを強く意識したものであるとは思われますが、その理由は7月2日以降沈黙したままのこれらSNSのアカウントからは明らかになっていません。

Anonymousとの関連

一連の改ざん行為の中で次のような内容が今回のサイバー攻撃では見受けられており、Anonymousとして活動している人間の関与も疑われています。ただし、改ざん画像にも名前が掲載されていたOpNorthKoreaを主導していた@Anonsjは韓国で発生したサイバー攻撃への関与は否定するつぶやきをしています。また韓国では6月25日に行われることが予告されていたOpNorthKoreaに対する報復攻撃ではないかと推定しているようです。*25

  • 今回の改ざん行為を行ったと主張するTwitterアカウント(@hacktivist_kor)がAnonymousの活動を行っているとも主張してた。(現在アカウントは凍結中)
  • @hacktivist_korはインターネット規制や大統領選挙に関して非難するつぶやきをしていた。*26
  • ガイフォークスのマスクが改ざんされたトップページの画像の中にガイフォークスのマスクをかぶった人間が行進しているシーンが埋め込まれていた。
  • 大統領府のサイトに「Hacked by Anonymous」と画像やカテゴリ名が改ざんされた。
  • 個人情報が掲載された先に#OPKOREAとAnonymousによるOperationを想像させる名称がつけられていた。

韓国で発生したサイバー攻撃の関与を否定するつぶやき

その他

Bondra James」といったユーザーが一連の改ざん行為を紹介する動画として、2分間の映像「Processing about attacking the ChongWaDae site.」を公開しました。ただし、この動画は運営元によりポリシー違反としてすぐ削除されたようで現在閲覧することは出来ません。また映像中で改ざん行為が紹介されていた日付は6月24日でした。*27
未来創造科学部は6月26日時点において当該動画を解析中であることを報告しています。

更新履歴

*1:대구경북 일부 언론사·기관 전산망 마비,大邱新聞,2013/06/29アクセス:魚拓

*2:サイバー危機警報の段階は正常・関心・注意・警戒・深刻の順にレベルが上がる。

*3:사이버공격 가능성이 높아짐에 따른 사전대비차원의 ‘관심’ 경보 발령 ,KISA,2013/06/27アクセス:魚拓

*4:[속보] 청와대 등 곳곳 해킹... 합참까지 초비상 걸렸으면?,Jcube,2013/06/26アクセス:魚拓

*5:경찰, 해킹 피해 언론사에 수사관 급파,聯合,2013/06/27アクセス:魚拓

*6:보건복지부 홈페이지도 다운,Jcube,2013/06/26アクセス:魚拓

*7:사이버공격이 지속됨에 따라 사이버위기 경보 단계를 ‘관심’ -> '주의' 경보로 상향 조정,KISA,2013/06/27アクセス:魚拓

*8:<"한 조직의 소행 의심"…해킹관련 미래부 일문일답>,聯合ニュース,2013/06/26アクセス:魚拓

*9:심디스크 서비스 장애 안내,SimDisk,2013/06/27アクセス:魚拓

*10:본 프로그램은 DDoS 악성코드를 검사/치료할 수 있는 전용백신입니다,KISA,2013/06/27アクセス

*11:인터넷진흥원, 악성코드 전용백신 배포,聯合ニュース,2013/06/27アクセス:魚拓

*12:大統領府HPに「偉大な金正恩首領」の書き込み、北の攻撃か,朝鮮日報,2013/06/26アクセス:魚拓

*13:大統領府HPがハッキング、「偉大なる金正恩首領」の書き込み,東亜日報,2013/06/26アクセス:魚拓

*14:청와대 홈피에 "김정은 만세" … 6·25 사이버 전쟁,Jcube,2013/06/26アクセス:魚拓

*15:[단독] 어나니머스 사칭, 청와대 홈페이지 해킹 인증 '어나니머스 이름 남겨' 북한 추정,Jcube,2013/06/26アクセス:魚拓

*16:[단독] 6.25날 해킹 된 20만명 명단 '단독입수',Jcube,2013/06/26アクセス:魚拓

*17:逭 해킹 정보 ‘로그파일’에 기록 남은 듯,ソウル新聞,2013/06/27アクセス:魚拓

*18:'일베'도 해킹, 어나니머스는 "우리가 안 했다",朝鮮日報,2013/06/27アクセス:魚拓

*19:過去にも2011年韓国で発生したSKコムズの情報漏えいではイースソフト社のALzipがマルウェアに置き換えられていました。

*20:報道によれば国家情報院はアクセス過多による接続不可であったとも報じられていました。

*21:"3·20해킹 때와 유사한 악성코드 발견…PC파일 파괴"(종합),聯合,2013/06/28アクセス:魚拓

*22:ファイル名の一部はWindowsのサービス名から作成される。

*23:미래부, 청와대 홈페이지 및 언론사 해킹 관련, 사이버위기 경보‘관심’단계 발령,KISA,2013/06/26アクセス:魚拓

*24:미래부, 정부기관 및 언론·방송사 해킹 관련, 사이버위기 경보 단계를 관심에서 주의로...,KISA,2013/06/26アクセス:魚拓

*25:어나니머스의 북한 공격 예고에 대한 보복성 해킹 추정,boannews,2013/06/26アクセス:魚拓

*26:‘어나니머스가 정부기관·언론사 해킹’ 진실공방,CHANNEL A,2013/06/26アクセス:魚拓

*27:청와대 해킹과정 추정 동영상 유튜브 공개, 2분만에 청와대 다운.. "어나니머스 소행?",朝鮮日報,2013/06/27アクセス:魚拓