Endpoint Protection

 View Only
Back to Library

韓国に対して 4 年間続いた DarkSeoul のサイバー攻撃、朝鮮戦争の開戦記念日にも続く 

Jun 27, 2013 04:25 AM

去る 6 月 25 日、朝鮮戦争の開戦からちょうど 63 年を迎えた朝鮮半島で、一連のサイバー攻撃が確認されました。複数の犯人によって複数の攻撃が実行されましたが、同日韓国政府の Web サイトに対して行われた分散サービス拒否(DDoS)攻撃は、DarkSeoul というグループと Trojan.Castov に関係しています。

25 日の攻撃だけでなく、過去 4 年間に韓国を標的にしてきた複数の大規模な攻撃も、この DarkSeoul グループの犯行であることが明らかになっています。こうした攻撃のなかでも、2013 年 3 月の Jokra 攻撃は特に破壊的で、韓国の銀行やテレビ局で膨大な数のコンピュータがハードディスクのデータを消去されました。また 2013 年 5 月には韓国の金融機関に対する攻撃も発生しています。

歴史上の記念日に DDoS 攻撃やハードディスクのデータ消去を実行するのは DarkSeoul グループの常套手段で、以前にも米国の独立記念日に DDoS とデータ消去攻撃を仕掛けたことがあります。
 

timeline111.png

図 1. 4 年間の DarkSeoul の活動
 

DarkSeoul グループの攻撃は、実行の方法が類似する傾向にあります。攻撃の特徴は以下のとおりです。

  • 多段階連動型の攻撃で、韓国の著名な組織を標的とする
  • ハードディスクのデータ消去や DDoS 攻撃といった破壊的なペイロードを歴史上の重要な日付に発動させる
  • 政治的なテーマの文字列でディスクセクターを上書きする
  • サードパーティによる正規のパッチ適用メカニズムを利用して、社内ネットワーク内で拡散する
  • 暗号化と不明瞭化に一定の手法を用いる
  • 特定のサードパーティ製 Web メーラーサーバーを使ってファイルを保存する
  • 類似のコマンド & コントロール構造を使う

DarkSeoul グループが実行した攻撃は、機密情報と一定の協力を必要とするもので、場合によっては高度な技術力も実証されています。国家の関与を特定することは困難ですが、韓国の報道では、攻撃者が北朝鮮のために活動していると結論づける調査があったことを指摘しています。攻撃グループの背後に北朝鮮がいるかどうかは不明ですが、その攻撃の裏には政治的な動機があり、また韓国内の組織に対するサイバーサボタージュ活動継続を支えるために必要な財政基盤もあることから、DarkSeoul の攻撃は今後も続くものとシマンテックは予測しています。国家規模のサイバーサボタージュ攻撃はあまり例がなく、このほかには Stuxnet と Shamoon(W32.Disttrack)の 2 つがよく知られていますが、何年にもわたってこれほど大規模で破壊的な攻撃を続行できているという点で、DarkSeoul グループはほぼ唯一の存在です。
 

image111.png

図 2. Castov の DDoS 攻撃
 

Castov の DDoS 攻撃は、以下の手順で実行されます。

  1. 侵入先の Web サイトから、正規の SimDisk.exe にトロイの木馬を仕掛けたインストーラファイル(Trojan.Castov)をダウンロードさせる。
  2. SimDisk.exe が、トロイの木馬を仕掛けられていない正規のバージョンである SimDisk.exe(正常)と、SimDiskup.exe(Downloader.Castov)の 2 つのファイルを侵入先のシステムに投下する。
  3. Downloader.Castov が、2 つ目の侵入先のサーバーに接続し、C.jpg(Downloader.Castov)という、画像に見せかけた実行可能ファイルをダウンロードする。
  4. Tor ネットワークを使って、Sermgr.exe(Trojan.Castov)をダウンロードする。
  5. Castov が Windows システムフォルダに Ole[ランダム].dll(Trojan.Castov)を投下する。
  6. Castov が、ICEWARP Web メールをホストしている Web サーバーから CT.jpg ファイルをダウンロードする。これは ICEWARP の既知の脆弱性を利用してすでに感染しており、CT.jpg ファイルには Castov が攻撃の同期に使うタイムスタンプが含まれている。
  7. その時刻に達すると、Castov が Wuauieop.exe(Trojan.Castdos)を投下する。
  8. Castdos は DNS 要求によって Gcc.go.kr DNS サーバーを過負荷状態にして、最終的に DDoS 攻撃が実行されて多数の Web サイトに影響が及ぶ。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.