読者です 読者をやめる 読者になる 読者になる

米ISPのモデムで大規模障害、原因はBrickerBotか

「米国のプロバイダ、2つのマルウェアによるモデムをめぐる戦いにより落とされる」

www.bleepingcomputer.com

4月10日に、米国のプロバイダSierra Telの利用者の間で異常が発生しました。ネットと電話が接続不能になったのです。これは同社が配布していたZyxelのモデムHN-51が外部からの攻撃により故障したのが原因でした。

BrickerBotの作者とみられるjanit0r氏からのメールがBleepingComputerに届きました。

「その頃BrickerBotがSierra Telのネットワークで活動していた。彼らのモデムは以前からマルウェアの大規模感染を受けていたので、付随的にネットワークトラブルが起きたのかもしれない」。

というわけで、記事の筆者(セキュリティニュースを他でもよく扱うCatalin Cimpanu氏)は、Sierra Telのトラブルの原因はBrickerBot(のPlan B)の可能性が高いと考えているようです。BrickerBotは、先日も書いたように、janit0r氏が言うには、可能なら破壊せずにMirai等の侵入を防ぐものの、不可能だった場合はPlan Bとして破壊(Brick)を行うとのこと。

プロバイダのモデムは、まさにインターネットにつながっていながら、しばしば脆弱なので、こういったマルウェアの格好のターゲットになります。昨年からドイツや英国でもプロバイダのトラブルが相次いでます。

mokake.hatenablog.com

mokake.hatenablog.com

BrickerBot、さらにバージョンアップ中

BleepingComputerが作者とみられる人物との接触に成功した「侵入先の脆弱なIoT機器を場合によっては破壊する」BrickerBotですが、さらにバージョンアップが続いている模様です。

「BrickerBot:復讐とともに再来」

security.radware.com

以前の調査時点ではバージョン1と2があったBrickerBotですが、さらに3と4も放たれていることが判明しました。ただし、中身はいずれもスクリプトを少し改変した程度です。

脆弱なIoT機器を破壊するBrickerBot、作者判明?

mokake.hatenablog.com

の件の続きです。

「BrickerBot作者、200万台の機器を動作不能にしたと主張」

www.bleepingcomputer.com

掲示板「Hack Forums」に書き込んだ「janit0r」という人物が、どうも作者ではないかという話。

2017年1月27日時点で「11月以来、20万台のtelnet接続可能な機器を壊してやった。おまえらのボットの数も減ってきただろ」という煽り書き込みをしています。その後、3月にはDahuaのネット接続監視カメラの脆弱性を説明しています(研究者が脆弱性の存在を発表したものの、Dahuaに時間的余裕を与えるためPoCを公開しなかったのに腹を立てた模様)。

さらに、BleepingComputer(および、彼らが調査を依頼したセキュリティ研究かVictor Gevers氏)にメールで接触してきた人物が、どうやら本当の作者と推測されています。

メールによれば、janit0r氏は、IoTボットネットの強力さやメーカーの姿勢、利用者の無知、当局の無為に絶望を感じてBrickerBotを作成したらしいことが伺えます。さらに、1月時点で「20万台」だった破壊機器数は200万台以上に増えている、とも述べています。さらに、Hajime作者などをIoTボットネットと戦う同士とみなしているようです。

また興味深いことに、BrickerBotは「基本的には破壊せずにセキュアにしようとしている。破壊はあくまでプランB(rick)」なのだとか。

ちなみにjanit0r氏は自身を指名手配犯的状況にあると認識しており、「(おそらく跡が残ることを危惧して)Hack Forumsには2度とログインしない」としており、メールのやり取りも(頻繁にアドレスを変えるなど)注意深く行っているとか。

なんとなく、日本での遠隔操作事件を思い出しますが、これまでのところjanit0r氏は本来の目的以上のことはしていません。

最近の中国関連

この件はさすがに関心が高いのか、日本語記事が複数出てますのでリンクのみ。

(対米:貿易関連)

www.jiji.com

(対韓:THAAD配備関連)

jp.wsj.com

仏大統領選へのネット攻撃状況

フェイクニュース

「フランスにもフェイクニュース問題はあるが、米国ほどひどくない」

www.theverge.com

オックスフォード大(のインターネット研究所OII)の調査によれば、3月のうち1週間に流れた84万のツイートに含まれる政治関連リンクのうち、ジャンクレベル(間違っており、かつ極端なイデオロギー陰謀論であるもの)のものは25%。

別のBakamoというコンサルタント企業の調査でも、5ヶ月間、800万ほどの政治関連リンクのうち、4分の1がフェイクニュース(ロシアのプロパガンダや人種差別主義的なもの)だったとか。

しかし、米国と比べてフランスやドイツの状況はかなりマシとのこと。オックスフォードのコメントとして「米国の投票者たちは、概して、選挙に際しての重大な時期に、主要な政治的議論に関して、非常に低レベルなニュースや情報をシェアしていた」「ドイツ人やフランス人がシェアするジャンクニュースの割合は、(アメリカ人と比べて)かなり小さい」としています。

フィッシング

「ロシアとつながるハッカー達、仏大統領選最有力候補の選挙活動に対してフィッシング攻撃」

www.theverge.com

トレンドマイクロの調査によれば、仏大統領選の初回投票で最多票をとったマクロン候補の選挙活動に対するフィッシング攻撃が確認されているとか。攻撃元は通称「Fancy Bear」。米大統領選での民主党選挙本部への攻撃が疑われているグループです。

マクロン候補の名前を一部に含んだ、紛らわしい(?)ドメインを取得して認証情報を窃取しようとしている模様です。既にマクロン陣営も状況は把握しているとか。

Android「システムアップデート」という名のマルウェア

Android向けスパイウェアSMSVova、ストア上でシステムアップデートを装う」

www.zscaler.com

2014年から、100~500万もダウンロードされたアプリ「System Update」。このたびスパイウェアであることが判明しました。元記事発行元のZscaler社がGoogleに通報し、現在では同アプリは削除されています。

システムアップデートはメーカー(または携帯キャリア)が出すわけでして。まあ、いつになっても「Android Update」が出ないのも問題なのですが。

今度はIoTオーブンがSMSで悪用できると判明

IoT脆弱性ネタはもはや定番と化していますが、また新たなエントリです。

「SMSで乗っ取れるスマートオーブンは本当に『スマート』?」

www.bleepingcomputer.com

Agaというところの「スマート・オーブン」は、GSM規格のSIMを挿すことができて、SMSで指令ができるそうです(機種にもよるのでしょうが、少なくとも一部は、プロ仕様のオーブンで、加熱にも時間がかかるそうです)。ただ、これだけだと「SIMの電話番号が分からなければ送信できないはず」と考えるところです。

しかし悪いことに、メーカーの用意しているWebコントロールパネルには問題があり(後の部分を読む限り、HTTPのみ、かつ、パスワードが5桁の数字なので総当り攻撃が容易ということでしょうか)、番号が取り出せてしまうのだとか。さらにオーブン側には認証の仕組みがないため、番号さえ分かれば自由に操作できてしまうようです。

メーカーは指摘に対して応答せず、今回の公開に至っています。なお、このオーブンの本来のメーカーはTekelekといい、他にも各種のSMSで管理可能な機器を作っているとか。