6月25日はOpNorthKoreaとして北朝鮮のWebサイトがDoS攻撃を受けた一方、韓国でも複数のWebサイトが改ざんされる等の被害を受けています。ここでは韓国で発生したサイバー攻撃に関する情報をまとめます。
尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog
尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。
概要
2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。また7月1日に複数のサイトが改ざんされる被害を受けました。
韓国へのサイバー攻撃の全体概要
| No | 発生日 | 種類 | 被害対象 | 概要 |
|---|---|---|---|---|
| 1 | 6/25 | HP改ざん | 大統領府 国務調整室 他2サイト |
画像が埋め込まれる等トップページが改ざんされた。 |
| 2 | 6/25 | (D)DoS | 大田政府統合電算センター | DoS用マルウェアでBot化した端末から韓国政府関連のDNSサーバーがDoS攻撃を受け、政府サイトへの接続障害が発生した。 |
| 3 | 6/25 | 情報漏えい | 大統領府 国防部 セヌリ党 米軍 |
政府サイトから入手したと思われる会員、党員、軍関係者の個人情報のリスト30万人分以上が外部サーバーに掲載された。 |
| 4 | 6/25 | システム停止 | 毎日新聞 大邱日報 |
何らかの攻撃を受けたことにより記事送稿システムが停止した。 (Wipeするマルウェアの被害を受けた可能性) |
| 5 | 6/25 | HP改ざん | 日刊ベストストア | HPの一部コンテンツが改ざんされた。 |
| 6 | 6/25 | HP改ざん (D)DoS |
日刊ベストストア ハバン 大統領府 国家情報院 セヌリ党 |
日刊ベストストアやハバンのHPが改ざんされ、閲覧するだけで大統領府、国家情報院、セヌリ党サイトへDoSを行うスクリプトが埋め込まれた。 |
| 7 | 7/01 | HP改ざん | 国内30サイト以上 | 画像が埋め込まれる等トップページが改ざんされた。 |
| 8 | 7/01 | マルウェア拡散 | グループウェアを利用する一部の企業(詳細不明) | グループウェアにiFrame経由でマルウェアが仕込まれ、それを利用する企業がHPの改ざん被害を受けた。 |
| 9 | 7/01 | DoS | 今日のユーモア | 約40GpbsのDoS攻撃を受け接続障害が発生した。7/2現在も攻撃を受けている模様。 |
時系列まとめ
| 06/25 | 9時10分頃 | 大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。 |
| 10時頃 | 大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。 | |
| 10時頃 | 大統領府サイトがシステム緊急点検が始まりアクセス不可になった。 | |
| 10時半頃 | 新聞2社が使用する記事送稿システムが使用不可となった。*1 | |
| 10時45分 | 政府はサイバー危機「関心」警報(5段階中2段階目)を発令*2 *3 | |
| 10時45分 | 軍は情報作戦防護体制(INFOCON)を準備体制段階である4へ一段階格上げ。*4 | |
| 11時半 | セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。 | |
| 11時50分頃 | 政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。 | |
| 午前中 | 毎日新聞、大邱日報の新聞二社の記事作成・送信システムが接続不可能に。 | |
| 午前中 | 大統領府サイトが掲示板や会員向け機能等部分的停止をした上で再開。 | |
| 午前中 | 警察がサイバー攻撃を受けた新聞社へ捜査員を派遣。*5 | |
| 14時41分 | 保健福祉部のWebサイトがサービス停止した。*6 | |
| 15時半頃 | 大統領府サイトで緊急復旧作業が行われ正常状態に復旧。 | |
| 午後? | 未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。 | |
| 15時40分 | 政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。*7 | |
| 15時40分 | 保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。 | |
| 16時頃 | 日刊ベストストアで不正アクセスが行われ約1時間程度サイト上で障害が発生した。 | |
| 17時30分 | 未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。],聯合ニュース,2013/06/26アクセス:魚拓">*8 | |
| 18時頃 | 日刊ベストストアでデータ改ざんが確認され、サービスを中断。 | |
| 20時半 | SimDiskのWebサイトが障害発生のためサービスを停止。*9 | |
| 22時頃 | 一部サイトを除き接続障害が出ていたWebサイトが復旧。 | |
| 6/26 | 未明 | 日刊ベストストアでサービス開始後からDoS攻撃が開始された。 |
| 9時頃 | 日刊ベストストアでサービスが再開。DoS攻撃は継続中。 | |
| 17:26 | KISAが今回のサイバー攻撃に使われたマルウェア専用のワクチンソフトを配布開始。*10 *11 | |
| 6/27 | 午前中 | インカインターネットがWiperマルウェアの存在を確認。 |
| 7/01 | 午前中 | 韓国内の複数のWebサイトが改ざんされた。 |
| 7/01 | 不明 | 「今日のユーモア」サイトがDoS攻撃を受け接続障害が発生した。 |
被害を受けたWebサイト
今回のサイバー攻撃では複数の政府機関、政党、メディア(未来創造科学部によれば全16組織)が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*14
- (1) 大統領府(青瓦台) president.go.kr
- トップ画面が改ざんされた。
- カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*15
- 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
- 10分間、別のメッセージ「統一大統領金正恩将軍様万歳! われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
- 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
全部で20万件程度の個人情報リストが公開。*16 - ログファイルが改ざんされた。*17
- 大統領府サイトが被害を受けるのは2009年以来4年目。
- 改ざんされたトップページに掲載された画像
- (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
- トップ画面が改ざんされた。
- (3) 安全行政部 www.mnd.go.kr
- Webサイトの接続障害が発生した。
- (4) 未来創造科学部
- Webサイトの接続障害が発生した。
- (5) 統一部
- Webサイトの接続障害が発生した。
- (6) 保健福祉部 www.mw.go.kr
- 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。
- (7) セヌリ党
- (8) eトゥデイ www.etoday.co.kr
- Webサイトの接続障害が発生した。
- (9) スポーツ・ソウル www.sportsseoul.com
- Webサイトの接続障害が発生した。
- (10) 毎日(メイル)新聞 www.imaeil.com
- 記事作成・送信システムがダウンした。(大邱日報と同じシステムを利用。)
- (12) 日刊ベストストア(イルベ)www.ilbe.com
Webサイト改ざんを介して漏えいした個人情報
NSHCによれば下記6つの個人情報が流出したと報告しています。
- 米軍
- 25師団所属の個人情報 1万5千人
- 第3海兵師団の個人情報 1万人
- 第1機兵団を特定できる情報 1万5千人
6.25 サイバー攻撃の手口
今回のサイバー攻撃として現在確認されている手口は次の4つです。
- (1) マルウェアを用いたDNSサーバーへの大量リクエストを用いたDoS攻撃
- (2) 正規サイトへ悪性スクリプトを埋め込み、閲覧者を使って行われるWebサーバーへのDoS攻撃
- (3) Wiperマルウェアを用いたデータ破壊・削除
- (4) 政府Webサイトの改ざんによる示威行為
政府組織のWebサイトが相次いてアクセス不可となった理由はDNSサーバーへ行われたDoS攻撃によるものと考えられます。
またBot化する際に用いられたマルウェアは、ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられたものでした。自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*19 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。
さらに今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、Webサイト(www.habang.co.kr)へアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*20、セヌリ党のサイトへ行われていたとのことです。
また、ハードディスクを破壊するマルウェアの存在についてもインカインターネットやAhnLabが報告しています。このデータを破壊するマルウェアは報道機関等が影響を受けたことをKISAが認めたと報じられています。*21
検体名
- (1) DoSマルウェア
- TROJ_DIDKR.A (TrendMicro)
- Trojan.Castov,Trojan.Castdos (Symantec)
- Trojan/W32.KRDDoS (nProtect)
- Trojan/Win32.Ddkr,Trojan/Win32.XwDoor (AhnLab)
- (2) Wiperマルウェア
- TROJ_KORHIGH.A(TrendMicro)
- Trojan.Korhigh (Symantec)
- Trojan/Win32.Ddkr,Trojan/Agent.245760.OX (AhnLab)
特徴
- (2) Wiperマルウェア
- ユーザーアカウントのパスワードを「highanon2013」に変更する。
- 3.20大乱で用いられたWiperよりも強力なWipe機能を持つ。(ファイルリネーム後ファイル削除等)
- 「High Anonymous」を示すデスクトップ画像に変更する。
構成
| No | ファイル名 | 機能 | Themida Packing | ファイルサイズ(byte) | MD5 Hash | VirusTotal | |
|---|---|---|---|---|---|---|---|
| 1 | SimDisk_setup.exe songsari_setup.exe |
SimDiskUp.exeと正規のSimDisk_setup.exeをドロップする。 自動更新対象となっていた正規のサーバー上のSimDisk_setup.exeを置き換えられたマルウェア。 |
N/A | 19,713,351 (SimDisk) 10.7MB (songsari) |
d9e211d1e05b50e1021e55110298dff5 (SimDisk) |
20/43(2013-06-26 01:12:22 UTC) (SimDisk) |
|
| 2 | SimDiskUp.exe | ダウンローダー。通信先No.1のサーバーよりd.Jpg/c.jpgを取得する。 | N/A | 950,784 | 27838d9f0f1befd7af151f1b73ad7720 | 19/40(2013-06-26 05:37:47 UTC) | |
| 3 | d.Jpg/c.jpg (~SimDisk.exeに改名) |
ダウンローダー。画像拡張子だが実行形式ファイル。 No.5のダウンローダーやNo.6のTorの実行ファイルを展開する。 |
○ | 3,396,096 | 98e0daafceb50d04828790cc344881d9 | 24/46(2013-06-28 07:25:34 UTC) | |
| 4 | ~E8536.bat | ~simdisk.exe実行後に自信を削除する。 | − | N/A | N/A | N/A | |
| 5 | (ランダム).exe | Tor通信を行うモジュール。config.iniが付属。Torのバージョンは0.2.3.25 | N/A | N/A | N/A | N/A | |
| 6 | (ランダム).exe | 通信先No.2のサーバーからsermgr.exeをTor経由で取得する。 | ○ | N/A | N/A | N/A | |
| 7 | sermgr.exe | ~ER(ランダムな数字).tmpと~DR(ランダムな数字).tmpを展開する。 ~ER(ランダムな数字).tmpはWindows Vista以降の場合作成する。 |
N/A | 4,383,232 | d97aef01ac94d2c7654033caa707a59f | 18/45(2013-06-26 06:14:05 UTC) | |
| 8 | ~ER(ランダムな数字).tmp | 64bitWindowsにおいてUAC機能を無効化する。 | N/A | 215,048 | N/A | N/A | |
| 9 | ~DR(ランダムな数字).tmp | ole(Windowsサービス名).dllを作成し、Windowsサービスとして登録する。 | N/A | 1,995,776(32bit) 146,170(64bit) |
0ff67e022fa9ce7056316ceff82a80a8(32bit) | 12/46(2013-06-26 05:38:09 UTC)(32bit) | |
| 10 | up.bat | ~DR7.tmpが正常に実行された後に作成され2つの.tmpを削除する。 | − | N/A | N/A | N/A | |
| 11 | ole(Windowsサービス名).dll*22 | 通信先No.3のサーバーよりCT.jpgを取得し、特定の条件後wuauieop.exeを作成し実行する。 | N/A | 936,448 | 13b4617013f22f9eba25be0b6ab2a7a8 | 13/46(2013-06-27 05:10:19 UTC) | |
| 12 | CT.jpg | DoS攻撃のタイムスタンプとなるデータ。 | N/A | N/A | N/A | N/A | |
| 13 | wuauieop.exe | 大量のDNSリクエストを送出し、DNSサーバーへDoS攻撃を行う。 | ○ | 847,872 | f60935e852d0c7bcffaa54dda15d009a | 26/47(2013-06-26 05:42:17 UTC) |
- (2) Wiperマルウェア
| No | ファイル名 | 機能 | Themida Packing | ファイルサイズ(byte) | MD5 Hash | VirusTotal |
|---|---|---|---|---|---|---|
| 1 | rdpshellex.exe | システム情報の送信、サービスの停止、デスクトップの変更、リネーム後ファイル削除・データ破壊・MBR破壊を行う。 | N/A | 245,760 | 0708a979a5c7c3a0450b7ddc37faead7 | 21/47(2013-07-02 17:45:35 UTC) |
| 2 | (ランダム).tmp.bat | ユーザーパスワードの変更を行う。 | − | N/A | N/A | N/A |
| 3 | desktop_image001.bmp | デスクトップ変更に使われる画像ファイル。 | − | N/A | N/A | N/A |
配布元・通信先
この件を受けて韓国政府の対応
7月1日に発生した複数のサイトにおけるHP改ざん
7月1日に韓国内の複数のサイトで画像が埋め込まれたり、メッセージが書き込まれるといった被害が発生しました。KISAの発表によれば30サイトが被害を受けたとのことで、INCAのレポートでも10サイトのURLがリストに掲載されています。具体的な改ざん方法、経緯は明らかとなっていませんが、インカによれば被害を受けたサイトが多数で在った理由はグループウェアを利用している一部の企業ではiFrame経由でマルウェアが送り込まれたためとの報告がされています。
[긴급]7.1 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # 130701-21
インカレポートに掲載されていたURL
- 嶺南日報(http://www.yeongnam.com)
- 慶南日報(http://www.gnnews.co.kr)
- ヨウンフンドドットコム(http://www.youngheungdo.com)
- ナムウン電子(http://www.nw119.com)
- ケーキコール(http://www.cakecall.com)
- サイバー独島(http://www.cybertokdo.com)
- 韓国聖書大学生涯教育(http://www.edream.ac.kr)
- ディモール(http://www.dsimall.com)
- 新韓セラミックス(http://www.scco.co.kr)
- 洗鉱アート(http://www.sekwang.co.kr)
- 情報ネット(http://www.jungbo.net)ホスティング会社
(サイト名はGoogle翻訳から直接引用。)
改ざんの内容
改ざんされたサイトは次の様なメッセージと画像が書き込まれた状態となっていたところが多かったようです。
- 埋め込まれた画像
- 書き込まれていたメッセージ
Hacked by High Anonymous
(画像)Follow us
- -
#HighAnonymous
@AnonHigh
@anon_high
@HighAnon2
www.facebook.com/HighAnonymous
改ざんで示されていたSNSについて
改ざんされたサイトに記載されていたSNSサービスを参照してみました。Twitterアカウントが3つ、ハッシュタグが1つ、Facebookが1つ示されています。
Twitterアカウントは@AnonHighをメインで利用しているようで、他2つは何もつぶやかれていません。またいずれも2013年7月1日に取得されたアカウントです。
- @AnonHighは7月1日だけつぶやきを行っている。
- バックアップアカウントと思われる他2つ(@HighAnon2、@anon_high)は何も投稿していない。
Twitterアカウントには「@HighAnon2」というアカウント名がとられていましたが、「@HighAnon」はこの件とは恐らく関係ない人が既に使用しているアカウントであったためと思われます。また3つも取得した理由は以前同一人物が使用していたと考えられる「High_Anon」が凍結措置を受けており、再度凍結を受けた際のバックアップアカウントとしての意味もあったのではないかと考えられます。
- @High_Anonは6月25日の改ざんについて自身が行ったと主張していた。当該アカウントは既に凍結済み。2013年6月26日時点で凍結前のキャッシュが残っていたことは確認しています。また背景は「@HighAnon2」と同じものが使われていたようです。プロフィールの説明文は「@High_Anon」は「We are Anonymous」と書いてありましたが、7月1日に作成された「@AnonHigh」は「We are HighAnonymous」となっており、後者はAnonymousよりも高位にあるかのような主張がされています。
ハッシュタグ(#HighAnonymous)はこれら3つのアカウントからのつぶやきはありません。以前から使われていたものでもないため、改ざんを行った当人がどのような反響があるかを把握すべく設定したタグと思われます。
さらにFacebookにもアカウントを取得しています。アカウントを作成した日時は2013年6月30日9時38分、翌7月1日20時にはカバー写真をWiperマルウェアでデスクトップの変更が行われる画像と同一のものを設定しています。
作成された日時等から改ざんを行う直前に用意したものと考えられます。また、埋め込まれた画像やメッセージからAnonymousを強く意識したものであるとは思われますが、その理由は7月2日以降沈黙したままのこれらSNSのアカウントからは明らかになっていません。
Anonymousとの関連
一連の改ざん行為の中で次のような内容が今回のサイバー攻撃では見受けられており、Anonymousとして活動している人間の関与も疑われています。ただし、改ざん画像にも名前が掲載されていたOpNorthKoreaを主導していた@Anonsjは韓国で発生したサイバー攻撃への関与は否定するつぶやきをしています。また韓国では6月25日に行われることが予告されていたOpNorthKoreaに対する報復攻撃ではないかと推定しているようです。*25
- 今回の改ざん行為を行ったと主張するTwitterアカウント(@hacktivist_kor)がAnonymousの活動を行っているとも主張してた。(現在アカウントは凍結中)
- @hacktivist_korはインターネット規制や大統領選挙に関して非難するつぶやきをしていた。*26
- ガイフォークスのマスクが改ざんされたトップページの画像の中にガイフォークスのマスクをかぶった人間が行進しているシーンが埋め込まれていた。
- 大統領府のサイトに「Hacked by Anonymous」と画像やカテゴリ名が改ざんされた。
- 個人情報が掲載された先に#OPKOREAとAnonymousによるOperationを想像させる名称がつけられていた。
韓国で発生したサイバー攻撃の関与を否定するつぶやき
その他
「Bondra James」といったユーザーが一連の改ざん行為を紹介する動画として、2分間の映像「Processing about attacking the ChongWaDae site.」を公開しました。ただし、この動画は運営元によりポリシー違反としてすぐ削除されたようで現在閲覧することは出来ません。また映像中で改ざん行為が紹介されていた日付は6月24日でした。*27
未来創造科学部は6月26日時点において当該動画を解析中であることを報告しています。
更新履歴
*1:대구경북 일부 언론사·기관 전산망 마비,大邱新聞,2013/06/29アクセス:魚拓
*2:サイバー危機警報の段階は正常・関心・注意・警戒・深刻の順にレベルが上がる。
*3:사이버공격 가능성이 높아짐에 따른 사전대비차원의 ‘관심’ 경보 발령 ,KISA,2013/06/27アクセス:魚拓
*4:[속보] 청와대 등 곳곳 해킹... 합참까지 초비상 걸렸으면?,Jcube,2013/06/26アクセス:魚拓
*5:경찰, 해킹 피해 언론사에 수사관 급파,聯合,2013/06/27アクセス:魚拓
*6:보건복지부 홈페이지도 다운,Jcube,2013/06/26アクセス:魚拓
*7:사이버공격이 지속됨에 따라 사이버위기 경보 단계를 ‘관심’ -> '주의' 경보로 상향 조정,KISA,2013/06/27アクセス:魚拓
*8:<"한 조직의 소행 의심"…해킹관련 미래부 일문일답>,聯合ニュース,2013/06/26アクセス:魚拓
*9:심디스크 서비스 장애 안내,SimDisk,2013/06/27アクセス:魚拓
*10:본 프로그램은 DDoS 악성코드를 검사/치료할 수 있는 전용백신입니다,KISA,2013/06/27アクセス
*11:인터넷진흥원, 악성코드 전용백신 배포,聯合ニュース,2013/06/27アクセス:魚拓
*12:大統領府HPに「偉大な金正恩首領」の書き込み、北の攻撃か,朝鮮日報,2013/06/26アクセス:魚拓
*13:大統領府HPがハッキング、「偉大なる金正恩首領」の書き込み,東亜日報,2013/06/26アクセス:魚拓
*14:청와대 홈피에 "김정은 만세" … 6·25 사이버 전쟁,Jcube,2013/06/26アクセス:魚拓
*15:[단독] 어나니머스 사칭, 청와대 홈페이지 해킹 인증 '어나니머스 이름 남겨' 북한 추정,Jcube,2013/06/26アクセス:魚拓
*16:[단독] 6.25날 해킹 된 20만명 명단 '단독입수',Jcube,2013/06/26アクセス:魚拓
*17:逭 해킹 정보 ‘로그파일’에 기록 남은 듯,ソウル新聞,2013/06/27アクセス:魚拓
*18:'일베'도 해킹, 어나니머스는 "우리가 안 했다",朝鮮日報,2013/06/27アクセス:魚拓
*19:過去にも2011年韓国で発生したSKコムズの情報漏えいではイースソフト社のALzipがマルウェアに置き換えられていました。
*20:報道によれば国家情報院はアクセス過多による接続不可であったとも報じられていました。
*21:"3·20해킹 때와 유사한 악성코드 발견…PC파일 파괴"(종합),聯合,2013/06/28アクセス:魚拓
*22:ファイル名の一部はWindowsのサービス名から作成される。
*23:미래부, 청와대 홈페이지 및 언론사 해킹 관련, 사이버위기 경보‘관심’단계 발령,KISA,2013/06/26アクセス:魚拓
*24:미래부, 정부기관 및 언론·방송사 해킹 관련, 사이버위기 경보 단계를 관심에서 주의로...,KISA,2013/06/26アクセス:魚拓
*25:어나니머스의 북한 공격 예고에 대한 보복성 해킹 추정,boannews,2013/06/26アクセス:魚拓
*26:‘어나니머스가 정부기관·언론사 해킹’ 진실공방,CHANNEL A,2013/06/26アクセス:魚拓
*27:청와대 해킹과정 추정 동영상 유튜브 공개, 2분만에 청와대 다운.. "어나니머스 소행?",朝鮮日報,2013/06/27アクセス:魚拓
