Slingshot APTに関し「米国の対テロ作戦」との証言
次の件の続報です。
Kasperskyの「Slingshot」報告が、ISISに焦点を当てた諜報活動にダメージ
米関係者「Kasperskyの"Slingshot"報告が反テロ作戦にダメージを与えた」
Slingshotは、Kasperskyが先日報告した、非常に高度なマルウェア群からなるAPTで、この手のものとしては珍しく、活動領域がアフリカ中心でした。
これについて、cyberscoopに、米国の諜報関係者(現任および「元」)が語ったとするところによると、Slingshotは米国がISISやアルカイダの内部情報を得るために進めていた諜報活動の一環だったとか。
Slingshotは、しばしばネットカフェのPCに、地元の米国協力者によりインストールされていたそうです(ISISなどの「標的」もまた、特定を避けるためにこれらのPCを用いていたとか)。
今回の報告により、作戦の一部は抹消せざるを得ないとして、匿名の関係者はKasperskyを強く非難しています。もっとも、セキュリティベンダーとしてのKasperskyがマルウェアの調査や報告を行うのは当然ですし、既に米国市場から事実上追われたKasperskyの立場やロシアの動向などを考えると、どこまで知っていたのか推測するのは困難でしょう。
なお、この記事の情報源は「U.S. intelligent officials」としかなく、クロスチェックもできないため、信頼性の担保は不可能です。
わずか数時間で40万台以上のPCにマルウェアが拡散
「汚染されたP2Pアプリ、Dofoilコインマイナーの急増を起爆」
「トロイの木馬化したBitTorrentソフト更新、先週40万台のPCを乗っ取る」
BitTorrentクライアントツールMediaGetのアップデートに介入して、マルウェアDofoilが挿入される騒ぎが3月6日にありました。わずか数時間で40万台以上に拡散した模様です。
このマルウェアの目的は暗号通貨Electroneumのマイニングです。ただし、C&Cサーバにアクセスすることで、他の機能を入れることも可能だったようです(ただ、Windows Defenderが急激な拡散を検出して食い止めた模様です)。
主な被害者はロシア、トルコ、ウクライナの人々でした。
ちなみに、今回のマルウェア入りアップデータは署名されていたそうです。
アップデータの入れ替えについては、調査にあたったマイクロソフト関係者によれば、2月中旬にMediaGetの配信サーバに侵入があったとのこと。その後、約2週間をかけてマルウェア入りアプリケーションの浸透をはかり、十分とみた時点で発動させたようです。
AMDの多数のCPU、APUに脆弱性。公開方法へは批判多数
「AMDのチップに多数の欠陥、悪意あるハックの影響が格段に悪化」
「13件のクリティカルな欠陥がAMDのRyzen、EPYCプロセッサで見つかる」
AMDのEPYCやRyzenシリーズのプロセッサ(AMD Platform Security Processor)には、x86-64とは別にARMコアが搭載され、独自の処理を実行することができます。
ここに任意のプログラムを送り込むことで、実質排除や検出が不可能なマルウェアを常駐できる一連の脆弱性が発見されました。
- RYZENFALL:Ryzenシリーズの脆弱性で、通常のプロセッサからセキュア領域に任意のコードを送り込み、実行させることが可能
- MASTERKEY:EPYCとRyzen全てで、ブート時に行われるハードウェアによるBIOSなどのチェックを回避できる脆弱性で、他の脆弱性で送り込んだ悪意あるコードを隠蔽し続けることが可能
- FALLOUT:EPYC(サーバ向けプロセッサ)のセキュア・プロセッサのブートローダの脆弱性で、悪用により保護領域のメモリの読み書きが可能
- CHIMERA:RyzenとRyzen ProのPromontoryチップセット(のファームウェアとASIC)にバックドアが存在、任意コードの実行や、各種ネットワークデータの読み書きなどが可能
これらの脆弱性は、攻撃に管理者権限が必要です。一般論として管理者権限が奪われている場合、既に乗っ取られた状態です。
ただし、これらの脆弱性によるマルウェアはプロセッサの奥底に埋め込まれ、OSを入れ直してもBIOSを書き換えても削除ができません。事実上、この攻撃を受けたプロセッサは再利用が困難となります。
もっとも、これまでもOS入れ直しなどを超えて残る攻撃手法はありましたし、そもそも数年間見つかることなく行動できた実績もありますので、今回の件が特別すごい、ということはありません。
一般論としては「そもそも管理者権限をとられるところまで至ってはいけない」という話です。
脆弱性は本物という外部コメントあり
本件は、専用ドメイン(amdflaws.com)までとって公開されていますが、そこには技術的詳細はありません。
しかし、発見者から個別に技術的詳細の説明を受けたセキュリティ研究者Dan Guido氏などは、脆弱性は本物であると述べています。
公開に関する問題
発見者(イスラエルCTS)は、この脆弱性について、「一般公開の前日」にAMDに連絡しています。どう考えても、1日では再現できるかどうかでしょう。
また、CTSの発表PDFには次のように書かれています。
we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports
(我々(CTS)は、直接または間接的に、当社のレポートの対象となる企業の株価に対して、金銭的な関心をもつ場合があります)
ちなみに実際の株価は、発表後に下落し、その後反発、再び下がって、今は安定しているようです。
なお、今回の発表に関しては、Viceroy Researchという会社から即座に株価に関連する報告が出ており、これも含めて多数の批判が集まっています。
いずれにせよ、この公開方法は、自ら悪用したりクラッカーなどに販売するといった方法とは違うものの、セキュリティ研究が恫喝と攻撃ということになりかねず、肯定するわけにはいかないでしょう。
なお、AMDのセキュア・プロセッサについては、Wikipedia英語版のページにもあるように、かえって危険になりかねない、という指摘が2013年には既にあったことは付け加えておきたいと思います。
StackOverflowの開発者アンケート(2018年版)
ソフトウェア開発者なら、ほぼ確実にお世話になっているサイトStack Overflowの2018年アンケート結果が公開されました。
個人的にはSOのアンケート結果をちゃんと見たのが初めてで興味深かったので、取り上げてみたいと思います。
ただし、あくまで「個人的に気になった部分」だけなので、言及すらしてない項目があります。ちゃんと知りたい方は、ぜひ元記事へ(英語だけど調査結果を読むだけなら困らないと思います)。
なお、見出しのカッコ内は元記事の項目名なので、元データを調べたい時にページ内検索用にご利用ください。
続きを読む中国CNNVD、脆弱性情報データベースを書き換えていることが判明
「中国、公的脆弱性データを改変。国家安全部による影響の隠蔽のため」
以前からCNNVD(中国の脆弱性情報データベース)については、脆弱性によって公開タイミングが違うことが指摘されていました。
この調査元であるRecorded Futureによる続報が出ました。要するに「CNNVDは脆弱性情報の公開日付を改変している」というものです。
前回、MSS(国家安全部)が脆弱性情報の公開について管轄し、有用な項目はあえて公開を遅らせて利用しているのでは、と指摘していましたが、今回の公開日付改変は、それを裏付けるものとしています。
米国のNVDは、こういったことは(直接には)ないものの、システム的に公開があまり早くないことは前回の報告で言われていたところです。実務では、こういった国家レベルのデータベースは後追いであり、他の情報源を日常的に使う必要がある、ということでしょう。
きわめて高レベルなAPT「Slingshot」が報告される
Slingshot APTのFAQ(よくある質問)
Kasperskyは、高度なマルウェア群による攻撃(APT)を「Slingshot」と名付け、その詳細を発表しました(冒頭記事の末尾に25ページの報告書へのリンクがあります)。
Slingshotは、少なくとも2012年から活動していたとみられます。また、SauronやReginといったものと並ぶ非常に洗練されたソフトウェアが使われています。文字列を全て暗号化して保存したり、ハードディスクの未使用領域に暗号化ファイルシステムを作るなど、手間もかかっています。
Slingshotの目的は情報窃取です。侵入経路としてはWindows PCや、ラトビアMicroTik社のルータ(または、その管理ツール)などが使われた模様です。また侵入対象は西アジアやアフリカ(特にケニアとイエメン)の、主に個人(ただし一部は組織)というのが意外なポイントです。
複雑さや洗練具合、活動内容などから国家(あるいは同等水準の組織)による可能性が高いものの、それ以上の推測は困難な模様です。