脆弱なIoT機器を破壊するBrickerBot、作者判明?
の件の続きです。
「BrickerBot作者、200万台の機器を動作不能にしたと主張」
掲示板「Hack Forums」に書き込んだ「janit0r」という人物が、どうも作者ではないかという話。
2017年1月27日時点で「11月以来、20万台のtelnet接続可能な機器を壊してやった。おまえらのボットの数も減ってきただろ」という煽り書き込みをしています。その後、3月にはDahuaのネット接続監視カメラの脆弱性を説明しています(研究者が脆弱性の存在を発表したものの、Dahuaに時間的余裕を与えるためPoCを公開しなかったのに腹を立てた模様)。
さらに、BleepingComputer(および、彼らが調査を依頼したセキュリティ研究かVictor Gevers氏)にメールで接触してきた人物が、どうやら本当の作者と推測されています。
メールによれば、janit0r氏は、IoTボットネットの強力さやメーカーの姿勢、利用者の無知、当局の無為に絶望を感じてBrickerBotを作成したらしいことが伺えます。さらに、1月時点で「20万台」だった破壊機器数は200万台以上に増えている、とも述べています。さらに、Hajime作者などをIoTボットネットと戦う同士とみなしているようです。
また興味深いことに、BrickerBotは「基本的には破壊せずにセキュアにしようとしている。破壊はあくまでプランB(rick)」なのだとか。
ちなみにjanit0r氏は自身を指名手配犯的状況にあると認識しており、「(おそらく跡が残ることを危惧して)Hack Forumsには2度とログインしない」としており、メールのやり取りも(頻繁にアドレスを変えるなど)注意深く行っているとか。
なんとなく、日本での遠隔操作事件を思い出しますが、これまでのところjanit0r氏は本来の目的以上のことはしていません。
仏大統領選へのネット攻撃状況
フェイクニュース
「フランスにもフェイクニュース問題はあるが、米国ほどひどくない」
オックスフォード大(のインターネット研究所OII)の調査によれば、3月のうち1週間に流れた84万のツイートに含まれる政治関連リンクのうち、ジャンクレベル(間違っており、かつ極端なイデオロギーや陰謀論であるもの)のものは25%。
別のBakamoというコンサルタント企業の調査でも、5ヶ月間、800万ほどの政治関連リンクのうち、4分の1がフェイクニュース(ロシアのプロパガンダや人種差別主義的なもの)だったとか。
しかし、米国と比べてフランスやドイツの状況はかなりマシとのこと。オックスフォードのコメントとして「米国の投票者たちは、概して、選挙に際しての重大な時期に、主要な政治的議論に関して、非常に低レベルなニュースや情報をシェアしていた」「ドイツ人やフランス人がシェアするジャンクニュースの割合は、(アメリカ人と比べて)かなり小さい」としています。
フィッシング
「ロシアとつながるハッカー達、仏大統領選最有力候補の選挙活動に対してフィッシング攻撃」
トレンドマイクロの調査によれば、仏大統領選の初回投票で最多票をとったマクロン候補の選挙活動に対するフィッシング攻撃が確認されているとか。攻撃元は通称「Fancy Bear」。米大統領選での民主党選挙本部への攻撃が疑われているグループです。
マクロン候補の名前を一部に含んだ、紛らわしい(?)ドメインを取得して認証情報を窃取しようとしている模様です。既にマクロン陣営も状況は把握しているとか。
今度はIoTオーブンがSMSで悪用できると判明
IoT脆弱性ネタはもはや定番と化していますが、また新たなエントリです。
「SMSで乗っ取れるスマートオーブンは本当に『スマート』?」
Agaというところの「スマート・オーブン」は、GSM規格のSIMを挿すことができて、SMSで指令ができるそうです(機種にもよるのでしょうが、少なくとも一部は、プロ仕様のオーブンで、加熱にも時間がかかるそうです)。ただ、これだけだと「SIMの電話番号が分からなければ送信できないはず」と考えるところです。
しかし悪いことに、メーカーの用意しているWebコントロールパネルには問題があり(後の部分を読む限り、HTTPのみ、かつ、パスワードが5桁の数字なので総当り攻撃が容易ということでしょうか)、番号が取り出せてしまうのだとか。さらにオーブン側には認証の仕組みがないため、番号さえ分かれば自由に操作できてしまうようです。
メーカーは指摘に対して応答せず、今回の公開に至っています。なお、このオーブンの本来のメーカーはTekelekといい、他にも各種のSMSで管理可能な機器を作っているとか。
Facebook、ジャーナリストの「認証」を導入。ただし……
「Facebookのジャーナリスト認証クラスは、単なるFacebookの使い方テスト」
日本では話を聞きませんが、Facebookがジャーナリストの認証(journalism certification)とかいうものを導入したそうです。一連のフェイクニュースの関連か何かなのでしょうか。
その中身について(テストで落ちた人が)紹介するのが上記記事。あくまでも「Facebookの使い方」の(しかもかなり細かい)テストであって、ジャーナリズムに関する内容ではないそうです。
たとえばスクリーンショットにある質問。
2.「どうすればジャーナリストがFacebookとInstagramの最大限活用できるか」より、ライブ・マップに関する次の項目のうち正しいものはどれか(3項目を選択すること) ・青い点は、ライブ映像の終了時に映像が消えることを示す。 ・映像を見ている人の数や、彼らの所在について知る方法はない。 ・ブックマークは、複数のビデオをチェックする唯一の方法である。 ・ライブ・マップは利用者の位置で開く。
ちなみに正解は「2つ目以外」。筆者は「3つ目以外」と回答して間違えた模様です。
まあ、どうでもよさそうな話ではありますが。
Mirai派生のHajimeボットネット、元祖と戦っていた模様
Mirai(みらい)ボットネットのソースが公開されたことを受けて、その派生として作られたHajime(はじめ)については以前も触れました。
また、最近は脆弱なIoT機器を使用不能にするBrickerBotという「明らかにやりすぎ」な防衛マルウェアもありました。
さらに、この2つを足して1.5で割ったような事例が起きていることが判明しました。
「機器を守るため、とあるハッカーが他よりも早い侵入を試みる」
Hajimeの解析が進み、その実態が明らかになりました。主な特徴は次の通りです。
- ボットネットの通信は分散型P2Pネットワークを採用(MiraiはC&Cサーバを使用)
- 感染すると、4つのポート(23, 7547, 5555, 5358)を閉じる
- DDoSなどの攻撃は行わない(他マシンへの感染は行う)
- プロセスやファイルの隠蔽を図る
- 10分に1回、ターミナルに次のメッセージを出力(※記事では「terminal」とあります。標準出力?)
Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED Stay sharp!
(一介のホワイトハット、システムの防御に参上
重要なメッセージは、こうやって署名しておくもんだ!
Hajime作者より
連絡は以上。気を抜くなよ!)
以上の特徴から、このHajimeは「正義のハッカー」と自認する者が展開している可能性が高いと考えられています。
Hajimeは既に1万以上のノードがあるとされており、少なくともHajimeが稼動している機器にMiraiは(当面)入れないため、意義はあるにはあるのですが、ほとんどの場合、この行為自体が違法な上、機材が再起動された場合、(ファームウェアがアップデートされない限り)再びMirai等との取り合いになってしまいます。
