Ghostnet

Ghostnet に関する報告書を読んでみたところ、特に
攻撃手法やその影響が目に留まったので、ざっくり
メモしておきたいと思います。

------------------------------------------------------------
【感染手法】
電子メールを使い、被害者が添付ファイルやWeb
リンクをクリックすることによってOSの深層部（ここ
は特に興味深い所です）にマルウェアをインストー
ルされる。

【攻撃の隠蔽化】
マルウェアが含まれるファイルを Virustotal でスキ
ャンすると、34あるスキャンエンジンの中で脅威を
検出できたのは11に過ぎない。

【感染後の被害状況】
感染ホストは、gh0st RAT と呼ばれるツールを使っ
て攻撃者から無制限と言ってよい程のコマンド群を
リアルタイムに実行できてしまう（コマンドインタフェ
ースの画面は報告書で見ることが出来ます）。

・ファイルマネージャ
・スクリーンキャプチャ
・キーロガー
・リモートシェル
・システム
（原文も"system"とあり、システムコマンド発行を意味？）
・Webカメラの操作
・内蔵マイクによる外部音声取得
・gh0st RAT のアップデートのような、マルウェアの
 ダウンロードおよび実行

その上、Server List interface から、以下のような
情報も取得できる。

・コンピュータ(所有者/オペレータ)に与えられた名前
・IPアドレス
・最初に、いつ感染したか
・最後に、いつ制御サーバを呼んだか
・制御サーバを何回呼んだか

更に、感染ホストへユニークな識別番号を割り振
ることで追跡も可能で、攻撃側から見ればまさに
至れり尽くせり。いったん感染させてしまえばコマ
ンドラインに習熟していなくても容易に操作できそ
うです。

Webカメラや内蔵マイクの操作などは、映画「攻
殻機動隊STAND ALONE COMPLEX Solid State
Society」に出てくる介護ネットを髣髴とさせます。

また、報告書内ではコマンドをJpegなどのイメージ
ファイルに埋め込んでいる手口も紹介しており、そ
うした状況を見るとWebコンテンツの完全性を定期
的にチェックするツールの重要性がより大きくなっ
ている様に思います。

【感染期間】
調査時に判明した感染期間は最短1日から、最長
660日間に及ぶ（平均は145日）。

【感染範囲】
報告書内では Net Trade in Taiwan、the New York
Office of Deloitte & Touche、PetroVietnam、国有の
ガス・石油会社の感染被害を挙げている。
------------------------------------------------------------

インフラや会計監査に関わる組織が侵害を受けている
点は、政府機関と同様に極めて重く見るべき事態でし
ょう（感染ホストの地理的な位置には、民間企業では
ないようですが日本も含まれています）。

そして、ソーシャルエンジニアリングと呼ばれる攻撃手
法が大きな位置を占めているという点は、昨今悪質化
の著しさが良く報道されるマルウェア動向と共通するも
のがあります。

数年前からサイバー犯罪がすでに産業化の傾向を強
めていることは良く見聞きし、詳しい出所は失念してし
まいましたが「正規の職業との違いは税金を払ってい
るかどうかだけ」という言葉まで聞いた経験も考えると、
報告書の内容は諜報目的であっても、実際にはボット
ネットと同じようなものに感じますし、gh0st RAT につ
いても似た様な攻撃ツールはいろいろ出回っている事
も含め、大きな傾向として脅威の内容自体はあまり変
化していないようにも感じます。

とはいえ、報告書に記載されている追跡過程などは
非常に臨場感があって、読むだけでも学ぶ点が多々
あります。

数年前に良く報道されていたものを見かけなくなっ
たからといって、その攻撃が無くなったのではなく
むしろ密かに進行していることを思わせる内容でし
た。


■関連リンク
GhostNet
Handler's Diary
Published: 2009-03-29,
Last Updated: 2009-03-30 18:21:20 UTC
by Chris Carboni (Version: 1)

Tracking GhostNet: Investigating a Cyber Espionage Network

InfoWar Monitor :: Tracking Cyberpower

SecDev Group

The Citizen Lab

Palantir

Virustotal

GhostNet - Wikipedia, the free encyclopedia

Vast Spy System Loots Computers in 103 Countries
NYTimes.com
By JOHN MARKOFF
Published: March 28, 2009

GhostNet Highlights Evolving Threat Environment
Business Center - PC World
Monday, March 30, 2009 2:10 AM PDT

GhostNet highlights evolving threat environment - espionage, ghostnet
Computerworld
Sumner Lemon (IDG News Service) 30/03/2009 18:56:00

GhostNet is watching
Computerworld Blogs

103カ国の国際機関を標的にしたサイバー・スパイ・ネットワーク「GhostNet」
Computerworld.jp
2009年03月31日

中国政府、サイバー・スパイ・ネットワーク「GhostNet」への関与を否定
2009年04月01日
Computerworld.jp

“2億8,500万件”の漏洩データが物語るセキュリティ侵害の現在
2009年07月25日
Computerworld.jp

世界規模のスパイ・ネットワーク「GhostNet」，トロント大学らが報告
ITpro
2009/03/30

China Denies Any Role in 'GhostNet' Computer Hacking
VOA News
By Alison Klayman
Beijing
31 March 2009

Project GhostNet:
Canada (and Google) Save the World from Cyber-Spying - Again!
CircleID
By Jon Arnold
Mar 30, 2009 3:13 PM PDT

中国、盗み放題？　ダライ・ラマらに大規模ハッキング
MSN産経ニュース
2010.4.7 08:58

中国：大規模ハッキング　ダライ・ラマらの情報盗難
毎日jp
2010年4月7日　11時17分（最終更新　4月7日　11時29分）

Shadowserver botnet rules
Handler's Diary
Published: 2010-04-23,
Last Updated: 2010-04-23 19:26:22 UTC
by Adrien de Beaupre (Version: 1)

Shadowserver

中国に“サイバー人民解放軍”、米国防総省が報告 (1/2)
ITmedia News
2007年06月07日 12時00分 更新

Espionage Report: Merkel's China Visit Marred by Hacking Allegations
SPIEGEL ONLINE
08/27/2007

「ハッカー集団Titan Rainの背後に中国政府の影」
-- セキュリティ専門家が指摘
CNET Japan
Tom Espiner（Special to CNET News.com）
2005/11/25 18:40

調査報告：「スパムの3分の1はRATに汚染されたPCが原因」
CNET Japan
2003/12/04 11:11

「RAT」とは

攻殻機動隊 STAND ALONE COMPLEX Solid State Society - Wikipedia