2012年4月9日月曜日

サイバー攻撃 関与中国人特定

サイバー攻撃に関与した中国人を特定した。
 日本、インド両国の企業やチベット人活動家を標的とするサイバー攻撃
が昨夏から相次ぎ、いずれも中国のインターネット企業の男性従業員が関与
していることがわかった。

関与中国人
・Gu Kaiyuan 男性
 別名 scuhkr
 中国ネット大手「騰訊(テンセント)」勤務
 四川大学(四川省成都)の元大学院生
・サイバー攻撃
 航空宇宙やエネルギー分野に関連する日本の複数の企業他、
 印軍事研究機関や船舶会社、
 チベット人団体等のパソコン計233台を攻撃。
 スパイ活動は少なくとも10ヵ月
・標的型メール
 各企業・団体の関心を引きそうなテーマの添付文書を送付し、PCに侵入

専門家
・中国政府が外国の情報収集を目的としたサイバー攻撃を民間のハッカー
 に委託した可能性


StratforのCEOはクレジットカードの情報を暗号化していなかったと告白。

Global Payments経由によるVisaとMasterCardのクレジットカード情報が
流出。
業界関係者
・NY市でタクシーと駐車場を運営する企業が絡む
・情報を盗み出したのは中米の犯罪組織で、アプリケーションのナレッジ
 ベース認証の質問に正しく答えることにより、システムに侵入。
・クレジットカード情報が最近になって使われ始めた形跡もある。

金儲けの手段として、ハッカーと言う商売が成立している。
以前は、Stratforハッキングのような愉快犯や売名行為が多かったが、
国家や犯罪組織が商売として雇うようだ。

Inside an APT Campaign with Multiple Targets in India and Japan Trend Micro Research Paper 2012

2010 Shadownet Report
防衛産業ウィルス感染 SJACが起点か
政治中枢サーバ 中国へ接続
emails of Stratfor
インターポール アノニマス25名逮捕
LulzSec、AntiSecら逮捕


---日本など標的のサイバー攻撃、関与の中国人特定---
2012年3月31日19時18分 読売新聞
http://www.yomiuri.co.jp/world/news/20120331-OYT1T00580.htm

 【ニューヨーク=柳沢亨之】日本、インド両国の企業やチベット人活動家を標的とするサイバー攻撃が昨夏から相次ぎ、いずれも中国のインターネット企業の男性従業員が関与していることがわかった。
 30日付米紙ニューヨーク・タイムズが、セキュリティーソフト大手、トレンドマイクロ(本社・東京)の分析などを基に報じた。
 同紙によると、男性は中国ネット大手「騰訊(テンセント)」に勤める四川大学(四川省成都)の元大学院生。航空宇宙やエネルギー分野に関連する日本の複数の企業のほか、インドの軍事研究機関や船舶会社、チベット人団体などのパソコン計233台を攻撃した。
 いずれも、電子メールで各企業・団体の関心を引きそうなテーマの添付文書を送りつけ、パソコンに侵入する手口で、日本企業への攻撃では福島の原発周辺の放射線量データなどを記した文書が添付されていた。
 同紙は複数の専門家の話として、中国政府が外国の情報収集を目的としたサイバー攻撃を民間のハッカーに委託している可能性を指摘している。


---Case Based in China Puts a Face on Persistent Hacking---
By NICOLE PERLROTH
Published: March 29, 2012
http://www.nytimes.com/2012/03/30/technology/hacking-in-asia-is-linked-to-chinese-ex-graduate-student.html?_r=1&scp=1&sq=china%20japan%20trend%20micro&st=cse

SAN FRANCISCO - A breach of computers belonging to companies in Japan and India and to Tibetan activists has been linked to a former graduate student at a Chinese university - putting a face on the persistent espionage by Chinese hackers against foreign companies and groups.

The attacks were connected to an online alias, according to a report to be released on Friday by Trend Micro, a computer security firm with headquarters in Tokyo.

The owner of the alias, according to online records, is Gu Kaiyuan, a former graduate student at Sichuan University, in Chengdu, China, which receives government financing for its research in computer network defense.

Mr. Gu is now apparently an employee at Tencent, China’s leading Internet portal company, also according to online records. According to the report, he may have recruited students to work on the university’s research involving computer attacks and defense.

The researchers did not link the attacks directly to government-employed hackers. But security experts and other researchers say the techniques and the victims point to a state-sponsored campaign.

“The fact they targeted Tibetan activists is a strong indicator of official Chinese government involvement,” said James A. Lewis, a former diplomat and expert in computer security who is a director and senior fellow at the Center for Strategic and International Studies in Washington. “A private Chinese hacker may go after economic data but not a political organization.”

Neither the Chinese embassy in Washington nor the Chinese consulate in New York answered requests for comment.

The Trend Micro report describes systematic attacks on at least 233 personal computers. The victims include Indian military research organizations and shipping companies; aerospace, energy and engineering companies in Japan; and at least 30 computer systems of Tibetan advocacy groups, according to both the report and interviews with experts connected to the research. The espionage has been going on for at least 10 months and is continuing, the report says.

In the report, the researchers detailed how they had traced the attacks to an e-mail address used to register one of the command-and-control servers that directed the attacks. They mapped that address to a QQ number - China’s equivalent of an online instant messaging screen name - and from there to an online alias.

The person who used the alias, “scuhkr” - the researchers said in an interview that it could be shorthand for Sichuan University hacker - wrote articles about hacking, which were posted to online hacking forums and, in one case, recruited students to a computer network and defense research program at Sichuan University’s Institute of Information Security in 2005, the report said.

The New York Times traced that alias to Mr. Gu. According to online records, Mr. Gu studied at Sichuan University from 2003 to 2006, when he wrote numerous articles about hacking under the names of “scuhkr” and Gu Kaiyuan. Those included a master’s thesis about computer attacks and prevention strategies. The Times connected Mr. Gu to Tencent first through an online university forum, which listed where students found jobs, and then through a call to Tencent.

Reached at Tencent and asked about the attacks, Mr. Gu said, “I have nothing to say.”

Tencent, which is a privately managed and stock market-listed Internet company, did not respond to several later inquiries seeking comment.

The attacks are technically similar to a spy operation known as the Shadow Network, which since 2009 has targeted the government of India and also pilfered a year’s worth of the Dalai Lama’s personal e-mails. Trend Micro’s researchers found that the command-and-control servers directing the Shadow Network attacks also directed the espionage in its report.

The Shadow Network attacks were believed to be the work of hackers who studied in China’s Sichuan Province at the University of Electronic Science and Technology, another university in Chengdu, that also receives government financing for computer network defense research. The People’s Liberation Army has an online reconnaissance bureau in the city.

Some security researchers suggest that the Chinese government may use people not affiliated with the government in hacking operations - what security professionals call a campaign.

For example, earlier this year, Joe Stewart, a security expert at Dell SecureWorks, traced a campaign against the Vietnam government and oil exploration companies to an e-mail address that belonged to an Internet marketer in China.

“It suggested there may be a marketplace for freelance work - that this is not a 9-to-5 work environment,” Mr. Stewart said. “It’s a smart way to do business. If you are a country attacking a foreign government and you don’t want it tied back, it would make sense to outsource the work to actors who can collect the data for you.”

The campaign detailed in the Trend Micro report was first documented two weeks ago by Symantec, a security firm based in Mountain View, Calif. It called the operation “Luckycat,” after the login name of one of the other attackers, and issued its own report. But Trend Micro’s report provides far more details. The two firms were unaware that they were both studying the same operation.

Trend Micro’s researchers said they were first tipped off to the campaign three months ago when they received two malware samples from two separate computer attacks - one in Japan and another in Tibet - and found that they were both being directed from the same command-and-control servers. Over the next several months, they traced more than 90 different malware attacks back to those servers.

Each attack began, as is often the case, with an e-mail intended to lure victims into opening an attachment. Indian victims were sent an e-mail about India’s ballistic missile defense program. Tibetan advocates received e-mails about self-immolation or, in one case, a job opening at the Tibet Fund, a nonprofit based in New York City. After Japan’s earthquake and nuclear disaster, victims in Japan received an e-mail about radiation measurements.

Each e-mail contained an attachment that, when clicked, automatically created a backdoor from the victim’s computer to the attackers’ servers. To do this, the hackers exploited security holes in Microsoft Office and Adobe software. Almost immediately, they uploaded a directory of the victims’ machines to their servers. If the files looked enticing, hackers installed a remote-access tool, or rat, which gave them real-time control of their target’s machine. As long as a victim’s computer was connected to the Internet, attackers had the ability to record their keystrokes and passwords, grab screenshots and even crawl from that machine to other computers in the victim’s network.

Trend Micro’s researchers would not identify the names of the victims in the attacks detailed in its report, but said that they had alerted the victims, and that many were working to remediate their systems.

A spokesman for India’s Defense Ministry, Sitanshu Kar, said he was not aware of the report or of the attacks it described. Fumio Iwai, a deputy consul at the Japanese consulate in New York, declined to comment.

As of Thursday, the campaign’s servers were still operating and computers continue to leak information.

“This was not an individual attack that started and stopped,” said Nart Villeneuve, a researcher that helped lead Trend Micro’s efforts. “It’s a continuous campaign that has been going on for a long time. There are constant compromises going on all time. These guys are busy and stay busy.”


---中国国家安全省、日本に情報収集拠点 「禁輸技術も違法入手」英研究者が警鐘---
2012.4.2 21:52
http://sankei.jp.msn.com/world/news/120402/chn12040221520003-n1.htm

 【ロンドン=木村正人】米連邦捜査局(FBI)の元中国スパイ担当捜査官、I・C・スミス氏と共著で『中国のスパイ活動の歴史辞書』を4月23日に刊行する元英保守党下院議員で作家のナイジェル・ウエスト氏(60)が本紙と会見し、「中国の国家安全省は日本で働く中国人技術者や科学者らでつくる2つの協会と関係を持ち、産業やビジネス情報を収集する拠点にしている」と指摘した。
 ウエスト氏によると、中国のスパイ活動は主に国家安全省と中国人民解放軍に二分される。国家安全省は台湾、チベット、ウイグル、気功集団「法輪功」、民主化運動の動向に重大な関心を持ち、スウェーデンやドイツ、米国、インド、オーストラリア在住の中国人社会にも浸透している。
 中国への輸出が禁止されている部品や技術についても国家安全省がクアラルンプールやシンガポール、香港を最終荷受人とする取引に協力者を介在させて違法に入手しているという。
 日本での活動は産業やビジネスに関するもので、前述の2つの協会を拠点に在日中国人に対し「中国に戻った時、日本で吸収した知識を共有しよう。学会参加の費用は面倒を見る。中国にいる親類が病気になれば必ず力になる」などと協力を呼びかけて、情報網を構築している。
 一方、人民解放軍は中国に投資する欧米企業とパートナーシップを組んで情報を収集する傾向があり、調査を目的にしている。米国では1990年代、ロスアラモス国立研究所から潜水艦発射弾道ミサイルの核弾頭情報が中国に盗まれた疑いが浮上している。
 人民解放軍がサイバー活動を重視し始めたのは91年の湾岸戦争で予想以上にあっけなくイラク地上部隊が多国籍軍に敗れたことに衝撃を覚えたのがきっかけ。それ以降、サイバー戦部隊を創設したという。
 ウエスト氏は「オバマ米大統領の選挙資料もハッカーに盗まれた。決定的な証拠はないものの、跡をたどれば中国のサーバーに行き着く。活動の範囲と規模を見ると国家が関与しているとしか考えられない」と指摘。「ライフルのように照準を絞って近づく欧米式スパイと異なり、中国式は千人に接近する。協力を断られても翌年、さらに次の年もアプローチする。短期的な結果を求めず、長期的に情報網を構築している。すべてを合わせると極めて警戒を要することは明白だ」と警鐘を鳴らしている。


---クレジットカード情報が大量流出か、決済処理大手に不正アクセス---
2012年04月02日 07時30分 更新
[鈴木聖子,ITmedia]

 流出した情報は1000万件を超すとの情報もある。犯罪組織はナレッジベース認証の質問に正しく答えることにより、システムに侵入したとされる。
 クレジットカード決済処理大手の米Global Paymentsは3月30日、決済処理システムの一部が不正アクセスされ、カード情報が流出した可能性があると発表した。カード大手のVisaやMasterCardも同日、この事実を公表し、利用者に注意を呼び掛けている。
 Global Paymentsによると、3月上旬になってカード情報が流出した可能性があることに気づき、外部の専門家や捜査当局に通報して調査に乗り出した。セキュリティ情報ブログのKrebs on Securityでは、不正アクセスは2012年1月から2月の間に発生し、盗まれた情報を使って偽のカードが発行された可能性もあると伝えている。流出した情報は1000万件を超すとの情報もあるという。
 VisaとMasterCardはGlobal Paymentsの発表を受け、利用者に対してカードの使用履歴を定期的にチェックし、不審な点があれば発行元の金融機関にすぐ連絡するよう呼び掛けた。自社のシステムが不正アクセスされたわけではないと強調している。
 調査会社Gartnerのアナリストは業界関係者の話として、今回の情報流出には米ニューヨーク市でタクシーと駐車場を運営する企業が絡んでいると伝えた。情報を盗み出したのは中米の犯罪組織で、アプリケーションのナレッジベース認証の質問に正しく答えることにより、システムに侵入したとの情報があると指摘。クレジットカード情報が最近になって使われ始めた形跡もあるという。
 Global Paymentsは米国時間の4月2日に電話会見を開き、この事件についての説明を予定している。


---「カード情報を暗号化しなかったのは当社の過ち」――情報流出被害のStratfor---
2012年01月13日 07時31分 更新
[鈴木聖子,ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1201/13/news021.html

 StratforのCEOは、「われわれはクレジットカードのファイルを暗号化していなかった。これは当社側の過ちだった」と述べ、その原因を分析している。
 米民間情報機関StratforのWebサイトが2011年12月に不正アクセスされて顧客のクレジットカード情報が流出した事件で、同社のジョージ・フリードマンCEOはWebサイトに掲載した声明で事件の経緯を説明し、カード情報を暗号化していなかった過ちを認めた。
 1月11日付の声明によると、同社のWebサイトに対する不正アクセスが最初に発覚したのは12月初旬だったといい、この時点で米連邦捜査局(FBI)が捜査に乗り出していた。フリードマンCEOは「事態が公になれば評判が傷つくことは分かっていた。さらに悪いことに、われわれはクレジットカードのファイルを暗号化していなかった。これは当社側の過ちだった」と振り返る。
 その過ちは会社の急成長に起因すると同氏は分析し、「会社が成長しても、管理部門と管理プロセスが成長しなかった」と指摘。この問題について現在対処を進めており、再発防止に努めるとした。
 同社のWebサイトは12月24日に再度不正アクセスされ、ホームページが改ざんされるとともに、クレジットカード情報と電子メールが盗まれてデータとバックアップ情報を記録したサーバが破壊される被害に見舞われた。「この攻撃には明らかに、当社の記録とWebサイトを破壊してわれわれを黙らせる意図があった」とフリードマン氏は言う。
 しかし現在までにWebサイトと電子メールは復旧し、アーカイブも全て復元される見通しだといい、「われわれを黙らせようとする試みは失敗した」と同氏。ハッカー集団Anonymousの名で犯行声明が出されたことについては「“Anonymous”というのは“unknown(不明)”と同じことだ。Anonymousは特定の思想を持った若者で構成されているというのが一般的な見方だが、それが事実かどうかは分からない」と述べるにとどめた。

0 コメント: