仮想通貨採掘のマルウェア 感染を通じて第三者のリソースを仮想通貨採掘に使う、いわゆる「クリプトジャキング」は、新たな脅威ではないが、とても進化しています。特に、この作業の唯一の目的はコンピューターのCPUを使って数字を計算することなので、静かに接近し、痕跡を残さないのが特徴です。このような特性のため、疎かな管理で放置されている多くのデバイスが攻撃のターゲットになっています。特に、政府機関のシステムは主な攻撃の対象の一つです。
最近、韓国の政府機関が運営するサーバーがマルウェアに感染され、仮想通貨の採掘に使われていたが、数年間誰も発見せず放置されていた事件が話題となりました。問題のデバイスは政府が畜産農家から発生する悪臭をリアルタイムでモニタリングするために全国の農家に設置したもので、追跡の結果、この事件の攻撃者はクリプトジャキングで有名な Outlaw Hacking Groupだと判明されました。2017年に設置した直後からシステムのサーバーがマルウェアに感染された痕跡が発見されました。CIPチームはこの件で使われた悪性IPアドレスの活動履歴、インシデントの原因をCriminal IPとOSINTを活用して分析しました。
出典: SBSニュース
"仮想通貨採掘に使われた政府システム…4年経つまで誰も気づいてなかった"
仮想通貨の採掘に使われた畜産モニタリングシステムを報道したニュースの画面
今回の分析レポートは仮想通貨の採掘マルウェアに感染された政府システムを報道したニュースの内容とスクリーンショットなどのOSINTやCTIシステムを通じて追跡した内容に基づいて作成されました。
メディアから報道された 仮想通貨採掘のマルウェア 事件のタイムライン
2017.10.05 12:03:48 ~ 2017.10.30 16:13:14
約25日間外部からアクセスしたログが確認され、アクセスの方法はSSHに推定される。(推定の根拠は後で説明します。)
2020.12.30 22:34:06
約3年が経った後、仮想通貨の採掘に疑われるトラフィックが45.9.148.99から発生した痕跡が発見、その前のログは保存されていないため、確認不可能。
ログに基づいて推定してみると、2017年の10月からハッカーがサーバーを掌握したとみられます。すなわち、このサーバーは2017年からハッカーが勝手に使えるようになり、正確にいつから採掘が行われ始めたのかは把握できないが、3年が経った2020年に採掘の痕跡が発見されたことからみると、様々な状況から3年以上採掘が行われてきた可能性が高いです。
悪性IPアドレスと 悪性コード 追跡
メディアから確認されたIPアドレスは45.9.148.99で、タイムラインは2020年でした。従って、このIPアドレスの2020年のデータを追跡する必要があります。また、ニュースを通じて報道された侵害事故分析報告書をみると、マルウェアに疑われるdota3.tar.gzというファイル名が確認されます。それゆえ、この二つを基盤として事件の内容を分析してみました。まず、該当IPアドレスはオランダのホスティングサーバーと推定されます。
2020.06.11, Outlawのモネロ採掘の悪性コード
仮想通貨採掘に疑われるトラフィックが記された時点と近い時期に、oguzhantopgul.comのブログに面白い投稿がアップロードされました。(https://www.oguzhantopgul.com/2020/06/outlaw-botnet-xmrig-miner-and-shellbot.html)投稿にはOutlawハッキンググループがモネロ採掘の悪性コードを感染させるためにIRCボットやSSH Bruteforce手法を用いたという内容が記載されています。また、この投稿で明示される採掘のためにハッカーと通信したIPアドレス(45.9.148.99)と悪性コードに疑われるパッケージ(dota3.tar.gz)全てが畜産モニタリングシステムのハッキングの状況と完全に一致していることがわかります。従って、2017年のハッカーの畜産モニタリングシステムへの外部アクセスもSSHアクセスだったと予想できます。
dota3.tar.gzのアーキテクチャ
(出典:https://www.oguzhantopgul.com/2020/06/outlaw-botnet-xmrig-miner-and-shellbot.html)
2019.06.13, Outlawハッキンググループに関するトレンドマイクロのレポート
Outlawハッキンググループとdota.tar.gzマルウェアのパッケージ名を検索してみると、既に2019年からトレンドマイクロで該当イシューに関わって作成したレポートを確認することができました。トレンドマイクロのレポートによると(https://www.trendmicro.com/en_dk/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html)、独自的に運営中であるハニーポットの一つでこの悪性コードが発見され、畜産モニタリングシステムのハッキングに使用された45.9.148.99のIPアドレスは使われなかったが、その他の内容は全て同じでした。特に、トレンドマイクロは、この悪性コードを使い、20万台以上のサーバーが感染される可能性を言及しつつ、使用しないポートを閉じ、周期的にモニタリングしなければならないという攻撃対象領域管理の示唆点を示しました。
マルウェアのペイロード(出典:トレンドマイクロ)
2020.05.30 Githubに公開されたマルウェアのソースコード
TripleLiftという企業の役員のDan Goldinは、自分のGithubに「システムがハッキングされた」とアップし、そのダンプの履歴を掲載したが、それも上述のOutlawが開発したdota.tar.gzパッケージの内容に非常に似ていました。ダンプの履歴の中では、畜産モニタリングシステムのハッキングに使用された45.9.148.99というIPアドレスも発見されました(https://github.com/dangoldin/crypto-miner-hack)。畜産モニタリングシステムのハッキングが発生した2020年にアップロードされた投稿で、該当年度にこのIPアドレスを利用した採掘感染のハッキングが盛んだことを推定できます。
Dan GoldinがGithubに掲載したハッキングダンプ
2020.06.18, Redditに掲載されたSSH Brute Force攻撃
同じ年の6月にはRedditにあるユーザーが「自分のシステムがSSH Brute Force攻撃を受けている」という投稿を掲載しました。前のケースと同様に、システムを攻撃しているIPアドレスとして45.9.148.99が言及され、攻撃のし方もSSH攻撃だったということで、畜産モニタリングシステムのハッキングと同じくOutlawの仕業だという推測を裏付けます。(https://www.reddit.com/r/linux4noobs/)
Redditに掲載されたSSH brute force攻撃の投稿
システムを攻撃しているIPアドレスとして45.9.148.99が確認される
前の状況は全部OSINTを用いた追跡の方式で、このような方法を通じて特定IPアドレスおよびハッキング手法について相当な記録や証拠を探せます。
2020.08.03 Criminal IPに発見された攻撃の記録
Criminal IPの検索を通じて同じ年の8月、Abuse Record記録のKISA(韓国インターネット振興院)のC-TAS記録によって攻撃ログの痕跡があったと確認できます。
https://www.criminalip.io/ja/asset/report/45.9.148.99
Criminal IPのIT資産検索でIPアドレス45.9.148.99を検索した結果
政府機関がやられた、APT攻撃か。
タイムラインを総合してみると、次の通りです。
2019.06.13
- トレンドマイクロの分析レポートが公開され、Outlawハッカーが作ったSSH攻撃+モネロ採掘の組み合わせの悪性コードのパッケージ発見
2020.05.30
- TripleLiftという企業が同じ方式で攻撃される(45.9.148.99のIPアドレス初発見)
2020.06.11
- oguzhantopgul.com ブログに分析レポートが公開される (45.9.148.99 IPアドレスにOutlawハッカーが作ったSSH攻撃+モネロ採掘パッケージ攻撃が行われる)
2020.06.18
- 同じ手法で攻撃される内容がRedditに掲載される (45.9.148.99、同じIPアドレス)
2020.08.03
- Criminal IPによって45.9.148.99の攻撃記録が発見される
2020.12.30
- 政府の畜産モニタリングシステムのハッキング記録が発見される (45.9.148.99、同じIPアドレス)
このタイムラインをみると、既にこのIPアドレスで攻撃しているマルウェアの活動は半年が超えていたし、類似ケースが多様なチャンネルに多数報告されていました。普段、APT攻撃は、標的化された攻撃を始める前に痕跡を残すことは少なく、攻撃を終えるとIPアドレスはなくそうとするなど、攻撃の痕跡も消すのが普通です。
従って、政府の畜産モニタリングシステムのハッキングは、ハッカーの合わせて狙ったAPT攻撃というよりも、ハッカーが45.9.148.99に感染させたマルウェアであちこちを攻撃していたところ、脆弱な状態で運営されていた畜産モニタリングシステムがそこにかかってしまった可能性が高いとみられます。(トレンドマイクロのレポートでも、20万台以上のシステムが脅威にさらされていると言及しました)OSINTとIPインテリジェンスだけで十分あらかじめ防御できた攻撃で、次世代のファイアウォールなどで提供している採掘システム検知機能でも事前に検知することができたとみられます。
攻撃対象領域管理導入の必要性
情報通信技術の急速な発展と共に、世界中の国々は電子政府を導入して国の行政システムを効率的に改善するために努めています。このような転換は必然的に多くの攻撃対象領域を作り出しており、外部からの攻撃による被害の確率もともに高くならざるを得ません。このケースだけでなく、今も世界中の数多い政府機関のサーバーが管理の死角に置いたまま放置されています。
特に、政府機関のデバイスハッキングは一度の攻撃で重要な個人情報や国家機密が漏れる恐れがある非常に敏感な事案なので、ハッカーの攻撃試みを前もって防御する攻撃対象領域管理を完璧に備えなければなりません。
Criminal IPを活用して他人のコンピューターリソースを無断で使用し、暗号通貨を採掘する クリプトジャキングを検知する投稿もぜひご参照ください。
0コメント