PR
カレンダー
キーワードサーチ
コメント新着
( 続)韓国、放送局・銀行システムダウン、原因はアレです の続きで、)
Update
Snowwalkerさんから拝借、
韓国への大規模サイバーテロ事件について
3月21, 2013 (抜粋)1.被害状況
複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる。
新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能。
2.攻撃手法
良くありがちなDDOSなんぞではなく、malware配布によるもの。
感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。
資産管理サーバーを乗っ取った手法は不明だが、APTにより管理サーバのアカウントを乗っ取ったものとアンラボ社は見ている。
資産管理サーバは恐らくパターンを配布するアンラボ社製品の中央管理サーバを指すと思われます。
3.malwareの動き
結構凶悪ですね。
感染力を無視し、可能な限りダメージを与えることを目的としているようです。
MBR破壊。PCが起動できない状態となる。
つながっているHDD全消去。
多分mountされているドライブ全て。
ファイルサーバーをネットワークドライブとしてmountしている場合、そっちもやられちゃうんじゃないかしら・・・。
4.何が脅威か?
これは元気な少年によるウイルス作ったらなんとなく広がっちゃったよ的なレベルでは全くないし、Anonymous的な権威に反抗してやるぜベイベー的な物にも見えない。
今回犯人がやったことは下記の様なものだ思われます。
+攻撃すべきターゲットを明確に絞り込む。
+ターゲット組織内に浸入。
+アンチウイルスの中央管理サーバ乗っ取り。
+malwareを中央管理サーバに仕込み配布。
+対象組織内全クライアントにmalware配布。
+2013/3/20 14:00に一挙に起動。全クライアント壊滅。
これは遊びのレベルではないし、金銭目的でもない。
明確な意図を持った攻撃です。
攻撃対象を軍に絞ったらどこまで行けたのでしょうか?
これは私にはサイバーテロというより明確なサイバー戦争による奇襲に見えます。
下手すると本格攻撃を実施する前の威力調査かもしれない。
5.犯人は誰か?
現在では犯人を特定できるだけの情報はありません。
状況から見て北朝鮮が当然強く疑われますが証拠は現時点ではありません。
6.誤解ないしデマ(の可能性が高いもの)
1)Windows 7のSP1を割れOSにあてたから全面ダウンした、
そんなんではありません。
明確なmalwareによる攻撃です。
2)非正規版WSUSのアップデートサーバにmalwareが仕込まれていた。
アンラボ社の調査ではアンラボ社製品の資産管理サーバ経由と思われます。
オリジナルの記事は「非正規WSUSが残っていればそういう攻撃も可能」という推定の話。
明確に否定できるわけではないが、実際に現地で調査しているアンラボ社の調査のほうが信憑性は高いとみています。
本件、個人的に、思っていたのは、
(意外と実害が大きくならなかったので、)
相手は、韓国という国で、
何がしかのトラ イアル テストをしていたのではと言うこと、これをSnowwalkerさんも指摘していて、
下手すると本格攻撃を実施する前の
威力調査かもしれない。チョッとばかし、意を強くした!?
それにしても、 悪質 の一言、
マッ、相手が アレ だから、さもありなんだが、ネットに関しては、
もはや、いつ切れてもいいようにしとかんと、
参考)「コンピューターを使用不能にすることが目的」――韓国へのサイバー攻撃 2013/03/22
この攻撃で使われたウイルス(マルウエア)はコンピューターを使用不能にすることが目的で、情報を盗み出す機能やコンピューターを乗っ取る機能などはないもよう。韓国で発生した大規模サイバー攻撃、日本は大丈夫か?
2013/03/22今回のサイバー攻撃は韓国に限定されたものだったが、同様の攻撃が日本を襲った場合はどうなるのであろうか。
ラックの西本逸郎セキュリティ技術統括専務理事は「日本でも、今後この種のことは起こり得る」と指摘する。すでに攻撃を発動させるためのマルウエアの仕込みが終わっており、“ 時限爆弾 ”のタイマーを待つだけ、という状況の可能性すらあり得るという。
更新日 2013年03月22日 13時50分13秒
追記)
LinuxPCも??
韓国が受けた大規模サイバー攻撃、Linux PCを消去する機能を確認(シマンテック) 2013年3月22日(金) 08時00分
株式会社シマンテックは3月21日、韓国の銀行と放送局が受けたサイバー攻撃の続報として、Linux PCを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されたとブログで発表した。
複数のOSで動作するコンポーネントが確認されることは珍しく、今回のようにLinux PCを消去するコンポーネントがWindowsマルウェアの内部に仕掛けられているのは異例のこととしている。
M4.3富士五湖近辺 2024年02月03日
災害は沖合から突然やってくる(1mの津波… 2023年10月05日