WikiLeaks、DNSポイズニングでOurMineのメッセージが表示
2017年9月3日 16:55
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事、V3の記事、The Vergeの記事、The Guardianの記事)。 ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。 この件について、ジュリアン・アサンジ氏やWikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。 一方、WikiLeaksは同日、米中央情報局(CIA)がWindowsデバイスをターゲットに使用していたという「Angelfire」のドキュメントをVault 7プロジェクトで公開している(Vault 7 — Angelfire、Softpediaの記事)。 Angelfireはブートセクターを改変するSolartime、改変されたブートコードが読み込むカーネルコードWolfcreek、ユーザーモードでマルウェアを実行するKeystone(MagicWand)、隠しファイルシステムBadMFS、Angelfireのインストーラー作成に使用するWindows Transitory Fileシステムという5つのコンポーネントで構成される。Keystoneが起動したプロセスはタスクマネージャーに「svchost.exe」として表示されるなど、存在を発見されにくくするさまざまな仕掛けが用意されている。対応環境はWindows XP/7/Server 2008 R2となっている。