2013年3月6日水曜日

Miniduke 23カ国で被害

Minidukeは、23カ国で被害を出したようだ。
 Kaspersky Labとハンガリーのブダペスト工科経済大学が共同で調査。
この攻撃を「MiniDuke」と命名。

MiniDuke
・Adobe Readerの脆弱性悪用コードを仕込んだPDF文書を送り付け、標的
 のコンピュータをマルウェアに感染させる。
・標的のシステムに感染したマルウェアはTwitterやGoogle検索を駆使し、
 攻撃者が運営する制御用サーバにアクセス。
・さらに別のマルウェアを呼び込んで、ファイルのコピーや移動、削除、
 ディレクトリの作成といったスパイ活動を実行。
・標的は、政府機関や研究機関、民間企業、シンクタンク等。
 制御サーバのログ調査により、日本や欧州、米国、露、イスラエル、
 ブラジル、チェコ、アイルランド、ポルトガル、ルーマニア、ベルギー、
 ハンガリー、ウクライナ等など23カ国で59件の被害。
・攻撃者は現在も活動を継続。

対策
・JavaやMicrosoft WindowsとOffice、Adobe Readerの最新バージョンへ
 の更新、特定のドメインやIPのブロック。
・不審な文書を開く際はインターネットに接続されていないコンピュータ
 や仮想マシンを使うか、Google Docsにアップロードして参照。

国家が関与と言われるサイバー攻撃がまた見つかった。
制御サーバーログを調査したようだから、制御する側もある程度把握
している可能性がある。
軍事作戦のサイバー攻撃は、あらゆる情報が軍事情報となるため、調査
機関が獲得した情報は、切売りして外国へ売却するのだろうか。

China Cyber-Espionage Campaign
Chinese Army Unit61398


---[CNET Japan] 欧州の政府機関、「MiniDuke」マルウェアの標的に--「Adobe Reader」を経由---
2013年2月28日13時6分
http://www.asahi.com/tech_science/cnet/CNT201302280025.html

 セキュリティ研究者らによると、Adobe Systemsの「Adobe Reader」に存在する脆弱性を悪用し、欧州の政府機関を標的とする新たな攻撃が行われているという。
 Kaspersky LabとCrySys Labは米国時間2月27日、欧州のさまざまな政府機関や政府団体を攻撃している「MiniDuke」という新たなマルウェアに関する詳細を発表した。Kasperskyによると、ウクライナやポルトガル、ルーマニアといった国の政府機関がこの攻撃の標的となっているという。
 MiniDukeは、PDF経由でPCに感染する。悪意のあるハッカー(今回用いられている技法が、1990年代後半に用いられていたものとよく似ているため、しばらく活動していなかったハッカーである可能性もあるとKasperskyは考えている)は、本物のように見える信ぴょう性の非常に高いPDFファイルを作り上げている。こういったファイルがコンピュータにダウンロードされると、アセンブラで記述され、大きさが20Kバイトしかないプログラムが、Adobe Readerのバージョン9~11に存在する未修正の脆弱性を突くようになっている。
 ダウンロードされたプログラムがコンピュータ上で活動を開始すると、ユニークな識別子が作成され、同プログラムの作成者との間で交わされるコミュニケーションはすべて暗号化されるようになっている。また同プログラムには、ウイルス対策プログラムやセキュリティ専門家らの目をあざむき、無害なプログラムであると見せかけるための仕組みが施されている。
 Kasperskyによると、同プログラムは下調べや検出回避措置をすべて終えた後、Twitterにアクセスし、あらかじめ定められているアカウントのツイートを検索するようになっているという。こういったツイートには暗号化されたURLが含まれており、同プログラムはこのURLにアクセスしたうえで、コマンドを送信し、GIFファイルに組み込まれたプログラムに従って新たなバックドアを仕込むという。
 このバックドアは特に悪質である。いったんコンピュータ上でバックドアが機能し始めると、攻撃者はファイルにアクセスしたり、ファイルの移動や削除を行ったり、ディレクトリを作成したりできるようになる。
 ハッカーは、Adobeが先週のアップデートでパッチを当てたAdobe Readerの脆弱性を悪用していた。同脆弱性はクラッシュを引き起こす可能性があり、攻撃者が攻撃対象システムの制御を奪い取ることをも可能にするというものだ。Adobeはこのアップデートの1週間前に、同脆弱性が攻撃者によって悪用されたことを認めていたものの、そういった攻撃の性質についての詳細は明らかにしていなかった。
 しかしKasperskyによると、攻撃はまだ続いており、最新版のMiniDukeが2月20日に作成されていることを考えると、ハッカーがこのパッチを回避する手段を見つけ出した可能性もあるという。


---欧州各国やNATOにサイバー攻撃、スパイ用のソフト利用か---
2013年2月28日9時13分
http://www.asahi.com/international/reuters/RTR201302280042.html

 [サンフランシスコ 27日 ロイター] 欧州各国の政府機関や北大西洋条約機構(NATO)のコンピューターシステムがサイバー攻撃を受けたと、アンチウイルスソフトのカスペルスキーなどが27日明らかにした。アドビシステムズ製ソフトの脆弱(ぜいじゃく)性を利用した攻撃とみられる。
 各国は情報は流出していないと説明しているが、攻撃の詳細についてNATOと情報共有し、警戒を続けている。セキュリティー専門家は、各国政府やNATOなどの機関には毎日のようにサイバー攻撃があるとしている。
 カスペルスキーやハンガリーのセキュリティー会社によると、攻撃を受けたのはチェコ、アイルランド、ポルトガル、ルーマニアなどの政府機関。ほかにも、米国のシンクタンクや研究機関、ハンガリー、ベルギー、ウクライナの団体にも攻撃があったという。
 攻撃にはスパイ行為のために開発された悪質ソフト(マルウェア)「MiniDuke」が利用されたとみられるが、その目的は分かっていないという。ただ、被害が広範囲で高い技術が使われていることから、ある専門家は国家が関与している可能性も指摘した。


---政府や企業を狙う新手のサイバースパイ攻撃、日本など23カ国で被害---
2013年02月28日 07時32分 更新
[鈴木聖子,ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1302/28/news040.html

攻撃者はAdobe Readerのゼロデイの脆弱性を使って「極めて特異な」攻撃を展開。日本など23カ国で59件の被害が出ているという。

 各国の政府機関や民間企業などのコンピュータに侵入して情報を盗み出そうとする新手のサイバースパイ攻撃が発生しているとして、ロシアのセキュリティ企業Kaspersky Labが2月27日、調査報告書をまとめた。被害は日本でも発生しているという。
 調査はKaspersky Labとハンガリーのブダペスト工科経済大学が共同で実施し、Kaspersky Labはこの攻撃を「MiniDuke」と命名している。発端は、2月に入ってAdobe Readerの未解決の脆弱性(Adobeが2月20日に対処)を突くマルウェアが相次いで見つかったことだった。一連の攻撃には極めて特異な点が幾つかあり、「これまで知られていなかった新たな攻撃者の存在をうかがわせる」とKaspersky Labはいう。
 MiniDukeの攻撃は、極めて効率的なソーシャルエンジニアリングの手口を採用。Adobe Readerの脆弱性悪用コードを仕込んだPDF文書を送り付け、標的のコンピュータをマルウェアに感染させる。PDFに記されたアジア欧州会合(ASEM)の人権セミナーやウクライナの北大西洋条約機構(NATO)加盟計画などの内容は、非常に出来が良く的を得ているという。
 標的のシステムに感染したマルウェアはTwitterやGoogle検索を駆使して、攻撃者が運営する制御用サーバにアクセスする。そこからさらに別のマルウェアを呼び込んで、ファイルのコピーや移動、削除、ディレクトリの作成といったスパイ活動を実行する。
 標的とされているのは政府機関や研究機関、民間企業、シンクタンクなどで、制御サーバのログを調べた結果、日本や欧州、米国、ロシア、イスラエル、ブラジルなど23カ国で59件の被害が出ていることが分かった。攻撃者は現在も活動を続けているという。
 Kaspersky Labの報告書では対策として、JavaやMicrosoft WindowsとOffice、Adobe Readerの最新バージョンへの更新、特定のドメインやIPのブロックを勧告。不審な文書を開く際はインターネットに接続されていないコンピュータや仮想マシンを使うか、Google Docsにアップロードして参照することを勧めている。

0 コメント: