WikiLeaks、DNSポイズニングでOurMineのメッセージが表示

2017年9月3日 16:55

印刷

記事提供元:スラド

8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事V3の記事The Vergeの記事The Guardianの記事)。

ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。

この件について、ジュリアン・アサンジ氏WikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。
一方、WikiLeaksは同日、米中央情報局(CIA)がWindowsデバイスをターゲットに使用していたという「Angelfire」のドキュメントをVault 7プロジェクトで公開している(Vault 7 — AngelfireSoftpediaの記事)。

Angelfireはブートセクターを改変するSolartime、改変されたブートコードが読み込むカーネルコードWolfcreek、ユーザーモードでマルウェアを実行するKeystone(MagicWand)、隠しファイルシステムBadMFS、Angelfireのインストーラー作成に使用するWindows Transitory Fileシステムという5つのコンポーネントで構成される。Keystoneが起動したプロセスはタスクマネージャーに「svchost.exe」として表示されるなど、存在を発見されにくくするさまざまな仕掛けが用意されている。対応環境はWindows XP/7/Server 2008 R2となっている。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩

 関連ストーリー:
米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」 2017年08月26日
ターゲットPCへの物理的なアクセスの証拠を消すCIAのツール「Dumbo」 2017年08月06日
LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 2017年07月04日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事