悪名高きサイバー攻撃集団「APT28」がNSAのツールを使ってホテル宿泊客のデータを盗む

『Security Affairs』

August 23, 2017 08:00
by 『Security Affairs』

FireEyeによれば、複数の欧州国のホテルを標的として行われている攻撃活動の背後には、ロシアとの関連が指摘される悪名高きAPT28グループ(Pawn StormFancy BearSofacySednitStrontiumとも呼ばれている)がいるという。

同社の研究者たちは、ホテルのネットワークを標的とした数多くの攻撃を観察した。それはゲスト用のWi-Fiを利用し、政府や企業の宿泊客たちのデバイスにアクセスすることを目的とした攻撃である。

ハッカーたちは、7つの欧州国、および少なくとも1つの中東国のホテルで、いくつかのホテル業界の企業を標的としていた。

彼らの一連の攻撃は、ホテルの従業員にスピアフィッシングメールを送るところから始まる。そのメールでは「Hotel_Reservation_Form.doc」と名付けられた攻撃用の文書ファイルが利用される。この.docファイルには、マルウェア「GameFish」を感染させるためのマクロが埋め込まれている。セキュリティ専門家たちは、ここで利用されているバックドアが、「先日、ヨーロッパ南東部に位置する共和制国家『モンテネグロ』を狙った攻撃でAPT28が用いたバックドア」と同じであることに気づいた。これは、ロシア政府の強い反発と「報復活動」の脅しがあったにも関わらず、モンテネグロがNATOの同盟国に加入したあとで行われた攻撃だった。

そのハッカーたちは、標的のネットワークへのアクセスに成功すると、NSAが開発に関与したと考えられているSMBのエクスプロイト「EternalBlue」を利用してネットワーク内で感染を広げていく。FireEyeの研究者たちによれば、このNSAのエクスプロイトをAPT28のハッカーたちが利用したのは今回が初めてのことだという。

「APT28はエクスプロイト『EternalBlue』とオープンソースのツール『Responder』で、感染をネットワーク内に、そして標的となりそうな宿泊客に広げるための新しい技術を利用している。APT28は、ホテル企業のネットワークに侵入すると、宿泊客用と社内用の両方のWi-Fiネットワークを制御しているマシンを探し出す。侵害されたホテルから宿泊客のIDやパスワードなどの認証情報が盗まれたというケースは確認されていない。しかし2016年秋に発生した別のインシデントで、APT28が被害者のネットワークへ最初のアクセスを遂げた際には、『おそらくホテルのWi-Fiネットワークから盗まれたと思われるクレデンシャル』を利用した」と、FireEyeが発表した分析結果は記している。

またAPT28のハッカーたちは、オープンソースのペンテストツール「Responder」を利用してNetBIOS Name Service (NBT-NS)ポイズニングを行う。

「社内用や宿泊客用のWi-Fiネットワークに接続されているマシンへのアクセスを確立したAPT28は、Responderを利用する。このソフトを使うことでNetBIOS Name Service (NBT-NS)ポイズニングは容易に行える。

FireEyeは次のように続けている。「その技術は、『ネットワークのリソースに繋がろうとする被害者のコンピューター』のNBT-NS(UDP/137)に聞き耳を立てる。そしてResponderは自身が『求められているリソース』になりすますので、被害者のコンピューターはユーザー名とハッシュ化されたパスワードを『攻撃者が制御しているマシン』へと送ってしまう。この技術によってユーザー名とハッシュ化されたパスワードを盗んだAPT28は、標的のネットワーク内での権限昇格ができるようになる」

同社の研究者たちは、2016年に起きた侵入事件に関して詳細に説明している。このときは一人のユーザーがホテルのWi-Fiに接続してから12時間後に、「そのユーザーから盗み出した認証情報」を利用したAPT28のハッカーたちが、彼のネットワークおよびOutlook Web Access(OWA)のアカウントにアクセスした。

ハッカーたちが旅行客を狙って攻撃したのは初めてのことではない。これまで最も深刻だったのは、DarkHotel APTの事件だろう。このAPTグループは「イランの核開発に関する交渉会議」の参加者が利用していたヨーロッパのホテルを標的とした。また一部の報告によれば、そのハッカーたちは「ロシアや中国を訪問する重要人物」を偵察した。

「ホテル業界に対して行われるサイバースパイ活動で、攻撃者たちは作戦を進めやすくするために『ホテルそのものの情報』を収集する可能性もある。しかし通常はホテルでなく、そのホテルの『気になる宿泊客』の情報(あるいはその人物から発せられる情報)の収集に焦点を当てるものだ」とFireEyeは述べた。「企業や政府の職員は、出張旅行中(特に国外旅行の場合)にも業務を行うためには、『職場で利用しているシステムよりも安全ではないシステム』に頼らざるをえないことも多い。また彼らは、国外滞在中に直面する『さらなる脅威』に詳しくないという可能性もある」
 
翻訳:編集部
原文:APT28 hackers are leveraging NSA Hacking tool to spy on Hotels guests
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

本記事でも記載されているが、ホテルの宿泊者を狙った攻撃といえば、2014年に発覚した「Darkhotel」の事件を思い出す。宿泊者がホテルの無線LANを利用すると、Google Toolbar、Adobe Flashのアップデートに見せかけて、バックドアであるDarkhotelをインストールさせるという手口だ。2016年にもDarkhotelは攻撃活動を行い注目を集めた

今回の記事では、サイバー攻撃集団「APT28」が宿泊客を狙って攻撃を行っていると指摘している。ホテルという場所は、標的型攻撃を行うにはもってこいの場所だ。特に国際会議や商談などが開催される場合、来場者がどのホテルに宿泊するか推測しやすい。攻撃者にとって、ターゲットが所属している組織のセキュリティを破るよりも、セキュリティ甘い宿泊先を狙った方が効率がよい。そして、狙われたホテルに運悪く宿泊すると、自動的に攻撃されてしまう。

極論に聞こえるかもしれないが、重要な情報を取り扱う人間は、ホテルが提供するネットワークを一切使ってはいけない時代となってしまった。ネットに接続する場合はスマートフォンによるテザリングやWi-Fiルーターなど、自前でネット接続環境を用意すべきである。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…