拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2018-01-09 セキュリティニュースまとめ: WPA2 脆弱性 KRACK を受け WPA3 プロトコル標準が公表される、北朝鮮金正日総合大学を送信先とした暗号通貨 Monero のマイニングソフトインストーラが確認される

WPA2 の脆弱性 KRACK の公表から 3 ヶ月、WPA3 WiFi 標準が公表される

元記事

  1. www.bleepingcomputer.com
  2. www.zdnet.com

概要

  • WPA2 の脆弱性 KRACK が 3 ヶ月前 (2017 年 10 月末) に公表された
  • WiFi Alliance、新しい WiFi プロトコル WPA3 を 2018-01-08 に公表
    • 2004 年から 14 年間ワイヤレスネットワークのセキュリティ標準として利用されてきた古い WPA2 にかわるプロトコル
  • 今年後半頃利用可能に
  • 4 つの新しい機能
    1. ブルートフォース攻撃からの保護
    2. 近隣にある WiFi が有効化されたデバイスを別のデバイスのための設定パネルとして利用可能に
      • たとえば自分の電話やタブレットを利用して、画面をもたない小さな IoT 機器 (スマートロック、スマート電灯など) の WiFi WPA3 オプションを設定できるようになる
    3. バイス=ルータ間やデバイス=アクセスポイント間のコネクションを個別に暗号化する「個別データ暗号化 (Individualized Data Encryption)」機能
      • WPA2 では同一ネットワーク内のすべてのデバイスが他のデバイスから送信されたデータを傍受できたが、個別暗号化機能により オープン WiFi ネットワークを安全に利用できるようになる点が大きな改善点
    4. 暗号化標準の改善: CNSS (国家安全保障システム委員会 Committee on National Security Systems) からの CNSA (Commercial National Security Algorithm) スイートに合わせた 192 ビットのセキュリティスイートにより、政府・防衛・産業などで求められる高いセキュリティ要求水準を満たす WiFi ネットワークを実現
  • 今後数ヶ月ぐらいで WPA3 をサポートするデバイスが出回り始めると予測

参照記事

暗号通貨 Monero のマイナー、採掘した暗号通貨を北朝鮮の大学に送信

参照情報

  1. 元記事 AlienVault (一次ソース): www.alienvault.com

概要

送信される Monero ウォレットのアドレス

4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS

採掘されたコインを受け取るマイニングサーバーの FQDN

barjuok[.]ryongnamsan.edu.kp

※ ryongnamsan[.]edu.kp は金日成総合大学内にサーバーが配置されていることを示すドメイン。パスワードは KJU となっており、金正恩 を指す可能性が指摘されている

アプリケーションの作成目的は何か?

  • barjuok[.]ryongnamsan.edu.kp は名前解決できないので実際には採掘したコインを受け取ることができない
    • 同大学内のネットワークで稼働させることが想定されていたのか?
    • かつては名前解決可能な FQDN が解決できないようになったのか?
    • 北朝鮮のサーバーを使用しているという事実はセキュリテイlリサーチャーをからかう悪戯か?
  • 今後予定されている攻撃の実験を観測したものなのか、ハードウェアの所有者が把握している「正当な」マイニング処理なのかは不明
  • 同アプリケーションには、通常攻撃者えあれば避けるはずのデバッグ用コメントが埋め込まれている一方で、マイニングアプリケーションのインストール検知をさけるための偽のファイル名も含んでいる
  • ソフトウェア作成者が実際に金正日総合大学にいるなら北朝鮮の人間ではないのではないか
    • 金正日総合大学は非常にオープンな大学で、外国人留学生や講師も受け入れている

確認されている検体

初回のアップロード場所とスクリプト内に記載されたフランス語からモロッコ出身者によるものか?

  • サンプルは非常に単純で、以下の推測が成り立つ
    1. 初期段階のプロトタイプ?
    2. 同一の場所 (フォーラムなど) からコードをコピーしてきただけで、まったく別の作成者によるもの?
  • サンプルはすべてモロッコ人のハッカーがセキュリティリサーチャーへの悪戯として仕掛けたものという可能性もある

既知の北朝鮮によると推測される Monero マイニング関連の攻撃

  1. 「Bluenorroff」として知られるグループが、銀行からの窃盗攻撃を試行中、危殆化したサーバー上で Monero をマイニングする試み
  2. 「Andariel」として知られるグループが、危殆化した韓国の会社のネットワーク上で Monero をマイニングする試み

  3. いずれのグループも Lazarus として知られる攻撃者グループの一部とみなされている

  4. Bluenorroff グループは、バングラディッシュ銀行から9 億 5,100 万ドルにおよぶ窃盗を一部成功させたことで知られる
  5. Andariel は BlackMine が進化したグループであると推測されており、韓国国防省からの窃盗事件でその名を知られる
  6. Lazarus は複数の関連する攻撃者グループで構成されたより「高次の」北朝鮮に関連していることが推測されている攻撃者グループの呼称。
  7. 今回発見されたアプリケーションがこれらのグループと関連することを示唆する証拠は確認できない
    • VB による稚拙なコードから考えるとこれらのグループと本アプリケーションが関連している可能性は低い
    • 大学のプロジェクトかなにかではないか?

北朝鮮と暗号通貨マイニングを時系列で振り返る: 2017 年 5 月、暗号通貨関連攻撃へ舵を切る

  • 以下 3 つのイベントがすべて 2017 年 5 月に発生:
  • 北朝鮮に割り当てられた IP アドレス範囲はごく少数のため、同じ IP アドレスが繰り返し別の種類の攻撃で登場することがある
    • 175[.]45.178.19 は BlackMine グループに危殆化した Web サーバーの C&C サーバーとして利用された経緯のある北朝鮮に割り当てられた IP アドレスの一つで、現在も BitCoin のトレーディングサイトに活発に活動している
    • 割り当てられた IP アドレス範囲の狭さから、重複する IP アドレスが利用されていることをもって同一攻撃グループが複数の攻撃をしかけているということはできない

結論

  • 厳しい制裁を受けている北朝鮮にある大学が暗号通貨に興味を示す事自体はなんら驚きではない
  • 実際、平壌科学技術大学 (Pyongyang University of Science & Technology) は外部から暗号通貨について解説してもらうための講師を招いてもいる
  • 今回確認されたアプリケーションはそうした暗号通貨獲得への努力の一部かもしれない