2010年4月8日木曜日

2010 Shadownet Report

四川省成都市起点の諜報活動が公表された。
 中国のハッカーグループが過去8カ月間、インド治安機関やダライ・
ラマ14世の事務所、国連、在米パキスタン大使館などのコンピューターに
侵入し、機密書類や電子メール、個人の金融情報などを盗んでいたと、
トロント大などの研究チームが、記者会見で明らかにした。

盗聴されたデータ
・アフガニスタンのISAF移動に関する文書
・ダライ・ラマが発信したメール1500通
・インドのミサイルシステムに関する研究機関の分析
・機密指定の外交文書
・クレジットカード番号

感染経路
・Emailに添付されたpdfファイル(Acrobat Readerのセキュリティホール使用)
・ファイルを開くとコンピューターが感染
 ツイッター、ヤフーメール、グーグルグループ、ブログスポット等に接続。
・最悪は、PCが乗っ取られる。

昨年までは、「普通のウイルスソフトでは防げない」とのことだが、
記載時も対応しているか不明。

成都起点のハッカーは、Ghostnetとは異なるようだが、目的は、軍事情報
や外交文書を盗んでいるところを見ると目的は同じようだ。
Ghostnetが報道されてから、別組織を設立した可能性もある。
中国政府は、捜査するとは言っていないようなので、経緯からみて、関連
していると見るべきだろう。

最近の諜報活動報道

---中国:大規模ハッキング ダライ・ラマらの情報盗難---
毎日新聞 2010年4月7日 11時17分(最終更新 4月7日 11時29分)
http://mainichi.jp/select/world/asia/news/20100407k0000e030038000c.html

 中国のハッカーグループが過去8カ月間、インド治安機関やチベット仏教の最高指導者ダライ・ラマ14世の事務所、国連、在米パキスタン大使館などのコンピューターに侵入し、機密書類や電子メール、個人の金融情報などを盗んでいたと、トロント大(カナダ)などの研究チームが6日、記者会見で明らかにした。
 盗まれたデータには、アフガニスタンの国際治安支援部隊(ISAF)の移動に関する文書、ダライ・ラマが発信したメール1500通、インドのミサイルシステムに関する研究機関の分析などが含まれていた。
 チームは「中国政府機関とハッカーたちの関係は不明だ。両者を直接結び付ける確たる証拠は見つかっていない」と説明した。
 発表によると、ハッキング行為は中国四川省が起点。侵入したコンピューターから機密指定の外交文書やクレジットカード番号などを盗み出していた。
 添付ファイル付きのメールを送り付け、ファイルを開くとコンピューターが感染、ヤフー、グーグルなどのフリーメールやインターネットの交流サイト「ツイッター」に接続するよう仕向けるなどの方法を使用。チームのメンバーは「普通のウイルスソフトでは防げない」と注意を呼び掛けた。(ニューヨーク共同)


---中国から大規模ハッキング ダライ・ラマらの情報盗難---
2010年4月7日 08時22分
http://www.tokyo-np.co.jp/s/article/2010040701000094.html

 【ニューヨーク共同】中国のハッカーグループが過去8カ月間、インド治安機関やチベット仏教の最高指導者ダライ・ラマ14世の事務所、国連、在米パキスタン大使館などのコンピューターに侵入し、機密書類や電子メール、個人の金融情報などを盗んでいたと、トロント大(カナダ)などの研究チームが6日、記者会見で明らかにした。
 盗まれたデータには、アフガニスタンの国際治安支援部隊(ISAF)の移動に関する文書、ダライ・ラマが発信したメール1500通、インドのミサイルシステムに関する研究機関の分析などが含まれていた。
 調査チームは「中国政府機関とハッカーたちの関係は不明だ。両者を直接結び付ける確たる証拠は見つかっていない」と説明した。
 発表によると、ハッキング行為は中国四川省が起点。侵入したコンピューターから機密指定の外交文書やクレジットカード番号などを盗み出していた。


---Researchers Trace Data Theft to Intruders in China---
By JOHN MARKOFF and DAVID BARBOZA
Published: April 5, 2010
http://www.nytimes.com/2010/04/06/science/06cyber.html

TORONTO - Turning the tables on a China-based computer espionage gang, Canadian and United States computer security researchers have monitored a spying operation for the past eight months, observing while the intruders pilfered classified and restricted documents from the highest levels of the Indian Defense Ministry.

In a report issued Monday night, the researchers, based at the Munk School of Global Affairs at the University of Toronto, provide a detailed account of how a spy operation it called the Shadow Network systematically hacked into personal computers in government offices on several continents.

The Toronto spy hunters not only learned what kinds of material had been stolen, but were able to see some of the documents, including classified assessments about security in several Indian states, and confidential embassy documents about India’s relationships in West Africa, Russia and the Middle East. The intruders breached the systems of independent analysts, taking reports on several Indian missile systems. They also obtained a year’s worth of the Dalai Lama’s personal e-mail messages.

The intruders even stole documents related to the travel of NATO forces in Afghanistan, illustrating that even though the Indian government was the primary target of the attacks, one chink in computer security can leave many nations exposed.

“It’s not only that you’re only secure as the weakest link in your network,” said Rafal Rohozinski, a member of the Toronto team. “But in an interconnected world, you’re only as secure as the weakest link in the global chain of information.”

As recently as early March, the Indian communications minister, Sachin Pilot, told reporters that government networks had been attacked by China, but that “not one attempt has been successful.” But on March 24, the Toronto researchers said, they contacted intelligence officials in India and told them of the spy ring they had been tracking. They requested and were given instructions on how to dispose of the classified and restricted documents.

On Monday, Sitanshu Kar, a spokesman for the Indian Defense Ministry, said officials were “looking into” the report, but had no official statement.

Late Tuesday, Beijing strongly denied any government role in the cyber attacks calling them "groundless," according to Xinhua, the official state-run news agency. At a press conference, Jiang Yu, a Chinese foreign ministry spokeswoman, said: "Some reports have, from time to time, been heard of insinuating or criticizing the Chinese government...I have no idea what evidence they have or what motives lie behind."

The attacks look like the work of a criminal gang based in Sichuan Province, but as with all cyberattacks, it is easy to mask the true origin, the researchers said. Given the sophistication of the intruders and the targets of the operation, the researchers said, it is possible that the Chinese government approved of the spying.

When asked about the new report on Monday, a propaganda official in Sichuan’s capital, Chengdu, said “it’s ridiculous” to suggest that the Chinese government might have played a role. “The Chinese government considers hacking a cancer to the whole society,” said the official, Ye Lao. Tensions have risen between China and the United States this year after a statement by Google in January that it and dozens of other companies had been the victims of computer intrusions coming from China.

The spy operation appears to be different from the Internet intruders identified by Google and from a surveillance ring known as Ghostnet, also believed to be operating from China, which the Canadian researchers identified in March of last year. Ghostnet used computer servers based largely on the island of Hainan to steal documents from the Dalai Lama, the exiled Tibetan spiritual leader, and governments and corporations in more than 103 countries.

The Ghostnet investigation led the researchers to this second Internet spy operation, which is the subject of their new report, titled “Shadows in the Cloud: An investigation Into Cyberespionage 2.0.” The new report shows that the India-focused spy ring made extensive use of Internet services like Twitter, Google Groups, Blogspot, blog.com, Baidu Blogs and Yahoo! Mail to automate the control of computers once they had been infected.

The Canadian researchers cooperated in their investigation with a volunteer group of security experts in the United States at the Shadowserver Foundation, which focuses on Internet criminal activity.

“This would definitely rank in the sophisticated range,” said Steven Adair, a security research with the group. “While we don’t know exactly who’s behind it, we know they selected their targets with great care.”

By gaining access to the control servers used by the second cyber gang, the researchers observed the theft of a wide range of material, including classified documents from the Indian government and reports taken from Indian military analysts and corporations, as well as documents from agencies of the United Nations and other governments.

“We snuck around behind the backs of the attackers and picked their pockets,” said Ronald J. Deibert, a political scientist who is director of the Citizen Lab, a cybersecurity research group at the Munk School. “I’ve not seen anything remotely close to the depth and the sensitivity of the documents that we’ve recovered.”

The researchers said the second spy ring was more sophisticated and difficult to detect than the Ghostnet operation.

By examining a series of e-mail addresses, the investigators traced the attacks to hackers who appeared to be based in Chengdu, which is home to a large population from neighboring Tibet. Researchers believe that one hacker used the code name “lost33” and that he may have been affiliated with the city’s prestigious University of Electronic Science and Technology. The university publishes books on computer hacking and offers courses in “network attack and defense technology” and “information conflict technology,” according to its Web site.

The People’s Liberation Army also operates a technical reconnaissance bureau in the city, and helps finance the university’s research on computer network defense. A university spokesman could not be reached Monday because of a national holiday.

The investigators linked the account of another hacker to a Chengdu resident whose name appeared to be Mr. Li. Reached by telephone on Monday, Mr. Li denied taking part in computer hacking. Mr. Li, who declined to give his full name, said he must have been confused with someone else. He said he knew little about hacking. “That is not me,” he said. “I’m a wine seller.”

The Canadian researchers stressed that while the new spy ring focused primarily on India, there were clear international ramifications. Mr. Rohozinski noted that civilians working for NATO and the reconstruction mission in Afghanistan usually traveled through India and that Indian government computers that issued visas had been compromised in both Kandahar and Kabul in Afghanistan.

“That is an operations security issue for both NATO and the International Security Assistance Force,” said Mr. Rohozinski, who is also chief executive of the SecDev Group, a Canadian computer security consulting and research firm.

The report notes that documents the researchers recovered were found with “Secret,” “Restricted” and “Confidential” notices. “These documents,” the report says, “contain sensitive information taken from a member of the National Security Council Secretariat concerning secret assessments of India’s security situation in the states of Assam, Manipur, Nagaland and Tripura, as well as concerning the Naxalites and Maoists,” two opposition groups.

Other documents included personal information about a member of the Indian Directorate General of Military Intelligence.

The researchers also found evidence that Indian Embassy computers in Kabul, Moscow and Dubai, United Arab Emirates, and at the High Commission of India in Abuja, Nigeria had been compromised.

Also compromised were computers used by the Indian Military Engineer Services in Bengdubi, Calcutta, Bangalore and Jalandhar; the 21 Mountain Artillery Brigade in Assam and three air force bases. Computers at two Indian military colleges were also taken over by the spy ring.

Beyond the Indian Government, infected targets included the Institute for Defence Studies and Analyses as well as computers at India Strategic Defence Magazine and Force Magazine. The researchers also found that computers at YKK India Private Limted, DLF Limited and TATA, as well as other companies were compromised.

Documents were also stolen from the United Nations Economic and Social Commission for Asia and the Pacific.

Even after eight months of watching the spy ring, the Toronto researchers said they could not determine exactly who was using the Chengdu computers to infiltrate the Indian government.

“But an important question to be entertained is whether the P.R.C. will take action to shut the Shadow Network down,” the report says, referring to the People’s Republic of China. “Doing so will help to address longstanding concerns that malware ecosystems are actively cultivated, or at the very least tolerated, by governments like the P.R.C. who stand to benefit from their exploits though the black and gray markets for information and data.”

John Markoff reported from Toronto, and David Barboza from Shanghai. Vikas Bajaj contributed reporting from Mumbai, India.


---「PDFファイルに要注意」、ADOBE READERの脆弱性を突くウイルス出回る---
勝村 幸博=日経パソコン [2010/01/05]
http://itpro.nikkeibp.co.jp/article/NEWS/20100105/342867/

パッチ未提供で対策ソフトの多くは検出せず、回避策はJavaScript無効化
 セキュリティ組織の米サンズ・インスティチュートは2010年1月4日、「ADOBE READER」および「ACROBAT」の新しい脆弱(ぜいじゃく)性を突く悪質なPDFファイル(PDFウイルス)が出回っているとして注意を呼びかけた。ファイルを開くだけで、パソコンを乗っ取られる恐れがある。2009年12月末時点では、ウイルス対策ソフト(セキュリティ対策ソフト)の多くが未対応だったという。
 ADOBE READERとACROBATには、細工が施されたPDFファイルを開くだけで、中に仕込まれたウイルスなどを勝手に実行される脆弱性が見つかっている。最新版でも未修正。脆弱性の概要や回避策は2009年12月15日に公開されたものの、アップデート(修正版や修正パッチ)は未公開。米アドビシステムズは、2010年1月13日にアップデートを公開するとしている。
 サンズやセキュリティ企業各社によれば、この脆弱性を悪用する攻撃やPDFファイルが広く出回っているという。今回、サンズが警告したのは「Requset.pdf」という名前のPDFファイル(図1)。ファイルを開くと、脆弱性を突いて内部のプログラムが勝手に動き出し、2種類の実行形式ファイルを生成して実行する。
 実行形式ファイルの一つは、「SUCHOST.EXE」というプログラム。このプログラムはパソコンに常駐し、あるコンピューター(サーバー)にインターネット経由で接続。攻撃者からの命令を待ち受け、その命令に従ってパソコンを操作する。つまり、攻撃者にパソコンを乗っ取られることになる。ただし、サンズのスタッフが確認した時点では、接続先のコンピューターは稼働していなかったという。
 もう一つは「temp.exe」。このプログラムは、ダミーのPDFファイル「baby.pdf」を生成し、ADOBE READERなどに読み込ませる。baby.pdfは、Excelで作成された表が貼られている無害のファイル。PDFウイルス(Requset.pdf)を開いても何も表示されないため、ユーザーが不審に思う可能性がある。そのユーザーの目をごまかすのが、baby.pdfの目的だという。
 サンズは、40種類の対策ソフトによりウイルスチェックできるWebサイト「VirusTotal(ウイルストータル)」を使って、今回のPDFウイルスを検査した。その結果、2009年12月31日時点で検出できた対策ソフトはわずか6種類だったという(図2)。
 今後は、より悪質なPDFウイルスが出現する危険性があるとして警告。サンズは、アップデートを適用するまでは、設定変更による回避策の実施を強く推奨している。具体的には、JavaScriptの設定を無効にする。
 無効にするには、ADOBE READERやACROBATのメニューバーから「編集」→「環境設定」を選択。メニュー左側の「分類」で「JavaScript」を選び、右側の「JavaScript」項目中の「Acrobat JavaScriptを使用」のチェックを外した後、「OK」ボタンを押す(初期設定では「Acrobat JavaScriptを使用」がチェックされている)。

0 コメント: