CarShark－車ハック＋韓国ハッキング

"3.20ハッキング、悪意のあるコード、2011年後半から検出可能であった"








MBC、KBS、YTNなど国内の主要放送社と新韓銀行、農協など金融機関で同時に行われたハッキング事件の顛末が当局の調査が進むにつれて、少しずつ明らかになっている。







一部では、政府が一 ​​括して規制するセキュリティポリシーが継続的な脆弱性を露出させていると指摘した。

放送通信通信委員会が主体となった民·官·軍合同対策チームによると、今回のハッキングを起こした彼らは、中国IPを介して被害機関のワクチンプログラムを配布する更新プログラムの管理サーバー（PMS）に接続して、悪意のあるコードを植えたものと推定される。

いわゆるインテリジェント持続攻撃（APT）方式で行われた今回のハッキングは、あらかじめ通信網を介して悪意のあるコードを植え指定した時間に一度発動するように作られた。

昨日（20日）放送局と金融機関が同じ時間にハッキング被害を受けた理由だ。その機関内の従業員が一括してダウンロードするセキュリティプログラムが汚染され、ハッカーが意図した時間に一斉にコンピュータの起動領域が破壊され、動作していない事故が発生したのだ。







被害放送局や金融機関は、ワクチンプログラムを提供するアンラボとハウリで緊急パッチプログラムを受けて追加ダメージを防ぎ、回復作業に入ったが、4〜5日程度の時間がかかると見ている。この悪性コードが挿入された事実を知らずに、従業員がインストールさせた責任が誰にあるのかも、明確に明らかにされていない状況である。被害企業らにワクチンプログラムを提供するアンラボとハウリは、自社対策ソフトのアップデートサーバは、ハッキングにあわず、被害企業が管理するPMSがハッキングされたことが原因だと主張した。放送通信委員会は、被害企業の一つである農協の場合、PMSを直接管理することがわかったが、残りの被害企業の場合、調査が進行中だと明らかにした。

バクジェムン放送通信委員会ネットワーク政策局長は記者会見で、 "PMSは通常の計算を管理する主体が管理する"と言いながらも"今回の場合は、PMSがどのような形で管理することが、まだ十分な調査が行われなかった"と話した。







一方、今回の攻撃に使用された悪意のあるコードが、国内のセキュリティベンダーが阻みにくい新型攻撃ではないという主張も出た。英国のワクチンメーカーSophosは20日（現地時間）韓国で使用された悪意のあるコードは、別名"ダークソウル"（DarkSeoul）と呼ばれるもので、2011年12月から検出可能であった明らかにしてソースコードを公開した。

ソフォスの分析が事実なら、国内のセキュリティベンダーは、1年余り前にその存在が確認された悪意のあるコードが、お客様のアップデートサーバに侵入することを検出もしておらず、感染したファイルが、個々の従業員のPCにインストールされていることも防げなかったわけだ。







"国連北朝鮮人権調査委員会設置の採決前日に発生"







（ワシントン=連合ニュース）イスングァン特派員=米国ワシントンDCの北朝鮮人権団体である北朝鮮人権委員会（HRNK）は20日（現地時間）、インターネットのホームページがハッキングに遭い資料が流出される被害を被ったと明らかにした。







グレッグスカラチューブ事務総長は同日、記者団に送った電子メールで、 ""ヒットマン007 - キングダム·オブ·モロッコ"と名乗った団体がホームページをハッキングしたことが確認された"と伝えた。







スカラチューブ総長は"今回の​​ハッキングに出版物、文書などが流出した"としながら"現在復旧作業が進行中で原因を把握中"と説明した。







彼は今回の攻撃が韓国で発生した放送·金融機関の電算網麻痺事態と関連があるのか、米国内の他の機関も被害を見たのかなどのかどうかは確認できないと述べた。







スカラチューブ総長はちょうど今回のハッキング攻撃が国連人権委員会（UNHCR）から北朝鮮の人権調査委員会の設置案件について採決をする前日に発生したと明らか`北朝鮮関連"に疑問を示した。







彼は"私たちがすることの性格から推して、こうした事故は予想していなかったわけではない"と付け加えた。







2001年に設立されたHRNKは、北朝鮮の政治収容所の実状を暴露するなど、北朝鮮の人権増進のための活動をする団体だ。

















一部では、ハッカーが放送局と金融機関の内部情報を流出した後、PCなどを破壊した場合、一般国民にまで被害が帰ることができると慎重に予想している。


21日民·官·軍サイバー脅威の合同対策チームによると、前日の午後2時KBS·MBC·YTNなどの放送局と新韓銀行·農協·済州銀行など金融機関の更新を管理するサーバー（PMS）に潜伏していた悪意のあるコードが動作して各社のネットワークが同時多発的に麻痺した。


一時に6つの主要な機関のPCとサーバー3万2千台が壊れたのは初めての事態だ。


今回の攻撃は、悪意のあるコードを介してPCのハードディスクを壊したという点で、過去2011年3月4日に発生したDDoS（;分散型サービス拒否）方式と似ていますが、破壊力は大きな違いを見せる。3.4ディドス当時は8日間725台のPCが壊れた。










攻撃を受けたかどうか2時間余りでコンピュータ·ネットワークを復旧したと発表したが、農協と放送局はこの日までに復旧が完了していない業務に支障を抱えている。



セキュリティ業界は、放送·金融機関が国民生活と密接なサービスを提供すると同時に、最悪の場合、全国民に被害が広がる可能性も排除していない。


特に今回の攻撃に使用されたものと推定される "トロイの木馬"型のマルウェアは、一度情報を抜き出して、システムを破壊する場合が多く、放送·金融機関が保有する機密情報が流出したこともあるという懸念が提起される。


幸いにも新韓銀行と農協銀行はこの日午前まで電算障害による金銭被害が発生していないことが分かった。


しかしバクチャンアムラオンホワイトハットセンターのセキュリティチーム長は、 "今回のハッキングも予測できなかったほど思わぬ他のシステムも、長期的なハッキングにあったことがある"とし、 "まだ安心するには早い"と警告した。










 "今回の悪性コードは、放送·金融機関の内部ネットワークに接続されたPCを攻撃したので、他の内部システムにまで浸透あったことが可能性を排除できない"と指摘した。



悪意のあるコードが、従業員が使用する内部情報を収集した後、PCを破壊した最悪のシナリオも期待できる。


特に今回の悪性コードから繰り返し現れた文字列が追加攻撃を意味するという分析が出てきて緊張感が高まっている。


サイバー脅威合同対策チームに参加しているインカインターネットによると、今回の悪性コードが破損したブート領域（MBR）の部分に "PRINCPES"と "HASTATI"などの文字列が複数回現れた。


一部では、これら両方の単語がそれぞれ "最初の"と "（ローマ）の軍隊の1列"を意味するラテン語としながら、今回の攻撃を敢行したハッカーが2次攻撃や3次攻撃を予告したという分析を出している。


バクジェムン放送通信委員会ネットワーク政策局長は、追加攻撃や被害かどうかについて、 "まだ総合的な調査結果が出なかった。すべての可能性を開いて対応している"と話した。




韓国大規模サイバーテロ、放送局KBS、MBC、YTN、新韓銀行、農協など金融機関ほか業務麻痺―「これは1次攻撃だ」HDDにメッセージ

今回のテロは、コンピュータ・ネットワークの過負荷を狙ったDDoS（DDos・分散サービス拒否）攻撃ではなく、
特定の悪意のあるコード（ウイルス）を浸透させ、ユーザーのPCを故障させる方式が使用された。
インターネットプロバイダである韓国LGユープラスがコードを1次感染させた後、この会社が、
ネットワークサービスを提供した放送局と金融機関に悪意あるコードを広めた可能性が高いと関係者から分析された。
しかし、放送通信委員会は、「LGユープラスのコード感染は今回の報道機関・金融機関マヒとは別の感染だ」としている。

サイバーテロを受け、新韓銀行や農協などの金融機関は、バックアッププログラムを使用してし、
サーバー関しては回復させることができた。 しかし、報道機関など放送局の全PCに関しては復旧は絶望的であるとされた。

また、今回の攻撃が長期間準備されてきた悪意あるコードであると推定されているだけに
今回狙われた機関以外の場所でも2次攻撃が発生する可能性が否定できない。

実際、この日に放送局と金融機関の全PCを攻撃した悪意のあるコードは
「ハースタチアナ（HASTATI）」 と 「プリンキーフェス（PRINCIPES）」 なる文字列をHDDに書き込んでいたのが発見された。

この二つの言葉は、ラテン語で 「最初の」 と 「軍隊の１列」 を意味しており、今回のサイバーテロは2次攻撃と3次攻撃を予告していると提起された。

韓国紙 KHANニュース 2013/3/21
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201303202225315&code=940202




韓国大規模サイバーテロ、MBR（マスターブートレコード）破壊だけでなく、HDD全消去される ―米シマンテック社報告

韓国の銀行、生命保険、損害保険会社、金融機関、TV放送局などが深刻なサイバー攻撃を受けている。
我々シマンテックは現在、サイバーテロについて詳細な分析を行っている。
現時点で、我々はマルウェアとして以下のアクションを実行することを確認した。

・ テロでは自分自身を参照するファイルマッピングオブジェクトを作成している。
　JO840112-CRAS8468-11150923-PCI8273V
・ テロではウイルス対策/セキュリティ製品ベンダーに関する2つのプロセスをkillしている。
pasvc.exe
clisvc.exe
・すべての接続ドライブを列挙して、MBRおよび文字列 "PRINCPES"もしくは "HASTATI"のいずれかを書き込むことによって、
そこに保存されているすべてのデータを物理的に上書きすることから始まります。そしてハードディスクの内容をすべて完全に消去します。

・この脅威は、侵入先のコンピュータに接続されているか、またはマップされたドライブ上でアクションを実行しようとしています。

・強制的にドライブのMBRやドライブの内容などを攻撃し、システムは使用不能になります。"shutdown-r-t 0"

この攻撃は潜入の兆候を見せずに行われています。
攻撃の本当の動機も不明ですが、朝鮮半島の政治的緊張のランプアップが起因している可能性があります。

Symantecは、今後さらなる情報を公開します。

ソース シマンテック社(英語) 2013/3/20
South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack
http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack






FA

　まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった（関連記事3、関連記事4）。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。

　こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。

　だが、それはあくまでクライアントレベルであり、Windows Server Update Services（WSUS）という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。


　マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。

　そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。

　そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま（正規のWindowsと思い込んで）使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。

　筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。すると、まさに今回示した挙動と瓜二つな挙動（ただしクライアントが直接ファイルを取りに行く）を示していた。Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。

　今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ（3月20日）にMBRを破壊するウィルスが活動を開始したと推測される。













FA


The defacement displays an elaborate animated Web page with sound effects,
showing three skulls and included a message by the claimed attackers calling themselves the “Whois” team.

Whoisチームっていうハッカー集団の攻撃、画面に3つのドクロが出るんだって会社用のアンチウイルス配布ソフト経由でウイルスが配られたってはなしだからアンチウイルスアップデータをハッキングしたかで配布

で、このウイルスの攻撃方法が、MBRの書き換えでOSを起動できなくなるのとOSインストールの拒否だから
PC事買い換えるしかないっぽいので復旧に時間かかってる

このマルウエアの攻撃対象のアンチウイルスソフトと
アンラボ日本
http://www.ahnlab.co.jp/company/overview.asp

代表者 代表取締役　社長 　金 基仁 副社長 張 大勳

アンチウイルス企業用アップデータのページ改ざんでそこにトロイが仕組まれていたという話っぽ
だからセキュリティスルーで会社内にばらまけると、あたまいいねWhoiチームは
アップデータに最新のウィルスが入っていても、最新のアップデータを適応する前だからチェックができないという
矛盾点をついてきたって話ｗ
この攻撃方法だとゼロデイ攻撃絶対に防げないｗｗｗ

なんでSP1のアップデートにあわせて攻撃したかの理由書いておくね
Whoisチーム頭いいねｗｗ

でかいパッチなので起動時にHDDがりがりやって起動するまで時間がかかっても不自然じゃない
（通常なら、あのーPC立ち上がりおそいんですけどーってバレちゃうので）
SP1配布に合わせて、ウイルスばらまいたのでHDDがりがり（実はデータ全消去）していても、「パッチ当ててるのか」と勘違いしてくれる
＆パッチがうまく当たらないからの事故に見せかけられて発見を遅らせられるといういいことばかりの、ゼロデイ攻撃にはぴったりの日程でした

whois チームはまた同じ攻撃するって予告してるってよｗｗ

正規OS<修正うpパッチくれ 
↓ 
非正規WSUSサーバー<おk 
↓ 
非正規WSUSサーバー、マイクロソフトとまったく無関係のサイトからダウンロードする 
↓ 
正規OS<修正うpパッチありがとー 

既にチャイナIPからのDLだと言ってますしね。＞非正規WSUSに割れOSが接続 

ようつべのカンナムスタイル再生回数 
１６：１６　1,450,365,105回 
１６：４６　1,450,365,105回 

無慈悲なUDで回数を稼ぐPCが動かない

これは無慈悲な制裁くるな…MSから

-

割OS当たり前に使ってた奴の自業自得で
FA

----------------------------------------

CarShark－車の制御システムのハッキング－遠隔操作も可能

---

原発のシステムをハッキングできるワーム（ウィルス）があることは過去記事に書きましたが、車のシステムもハッキングして操作することが可能だということが報じられています。原発を襲うワームは、Stuxnetという名前です。

イランの原発を攻撃したStuxnetウィルス－福島もStuxnet攻撃？

他、これに関連する過去記事

福島原発の管理会社はイスラエルのマグナBSP社

福島原発はイスラエルの核テロ－外国人ジャーナリストのスクープ

---

先日紹介させていただいた、観光バス運転手さんの記事に記載がありました。
そちらより引用転載。2010年5月　今から二年前のBBCの記事。

Hack attacks mounted on car control systems

現代の車を制御するために使用されるコンピュータシステムは、攻撃に非常に弱いと専門家は言う。

セキュリティ研究者による調査で、システムが簡単にハッキングされることがわかった。研究者は、リモートで車のエンジンを殺すブレーキをオフにする方法を示しました。

彼らの成功にもかかわらず、チームは、悪意のある攻撃者が自分の仕事を再現するのは難しいだろうと述べた。

以下ブログ管理人さんの考察から。

CarSharkにハッキングされたら、ニュートラルにしてもパーキングにしても止まりません。。

このほどサウスカロライナ大学とニュージャージー州立ラトガース大学の共同研究成果として指摘されたのは、すでに米国内で全車に実装が義務づけられているTire Pressure Monitoring System（タイヤ空気圧警報システム）の脆弱性です。

わずか数時間で、このシステムの内部へとワイヤレスに侵入し、偽のパンク警報アラームを発動させられることが実証されたほか、各車に固有のIDが割り振られていることから、勝手にハッキングした自動車の現在位置などを常時リアルタイム追跡可能になっちゃったそうですね。

どうやら最初にシステム内へ不正に侵入するまでが困難を極めるものの、いざセキュリティーが破られてしまえば、時速68マイル（約110km）で併走する車からだって自由に攻撃を仕掛けられることもテスト済みですよ。

このまま車載コンピューターを乗っ取れば、勝手にワイパーを動かす、いきなりクラクションを鳴らす、急加速させる、ブレーキを利かなくするなどなど、なんとも恐ろしい命令をハッカーが狙った車へ送ることまでできるようになるんだとか。

なんと、ワイヤレスでシステムをハッキングできると。。。

今から二年も前の記事やから、さらにハッキング技術も進歩してるでしょうし、祇園の事故が遠隔操作されてたってのほぼ間違いなしですね。。

すべての新しいタイプの車にはコンピューター制御システム

All modern cars are fitted with computer control systems

すべての新しいタイプの車にはコンピューター制御システム

と、BBCのサイトに書かれていますが、すべての新しいタイプの車には、このようなコンピューター制御システムが搭載されているよう。本当にそうだとしたら、これは大問題なのでは？ほとんどの人が知らないのだろうし。

The team concluded that the car control software was “fragile” and easy to subvert. In some cases simply sending malformed packets of data, rather than specific control code, was enough to trigger a response.

研究チームは、この制御ソフトウェアは脆弱であり、簡単にシステムが破壊すると結論づけている。状況によっては、特定の制御コードを送るのではなく、不正な形式のパケットデータを送ってしまうのみとなり、反応を引き起こすのに充分な引き金となる。

また、このようなコメントもされています。

“Cars benefit from the fact that they are (hopefully) not connected to the internet (yet) and currently are not able to be remotely accessed,” said Rik Fergson, a security analyst at Trend Micro.

それらの車は（まだ）インターネットとは接続されておらず（願わくば）、遠隔操作できるようなことはないのでまだよい」と、トレンドマイクロ社のセキュリティ・アナリストであるRik Fergson氏は語った。

“So in order to carry out a successful attack you would already need to have physical access to the vehicle, as a break-in or as a mechanic, seem the two most likely scenarios.”

成功させるような攻撃を実行するには、侵入や修理といった、物理的な車への接触が必要となり、これらの２つの手段がもっとも考えられるシナリオとなるとみられる。

“As cars, and everything else in life up to and including even pacemakers or fridges, become steadily more connected and externally accessible, research such as this should be taken increasingly seriously by manufacturers,” he added.

車のような、そしてペースメーカーや冷蔵庫さえも含めたすべてのものは、着実に外部から接続されて接触可能となっており、このようなケースのリサーチを、生産者によって真剣にされる機会を増やさなければならない、と彼は付け加えた。

“This represents an opportunity to head off a problem before it starts, in the not-too-distant future it may represent a real risk to life.”

このことは、リサーチが始まる前に問題に直面する状況を表しており、人の生活において、そう遠くない将来に本当の危険性に直面する可能性がある。

そりゃ、公式には「そんな悪用はされることはないですよ」とされるだろう。しかし、技術的に物理的に方法が存在するということは、それが悪用されない可能性がないとは言えないことも事実だと思う。

これによるものかどうかは別の問題であったとしても、私は引き続き、遠隔操作など、人為的に引き起こされた可能性（偶発的な事故ではなく）も大いに疑っている。

 http://sekaitabi.com/carremote.html