関連記事
WikiLeaks、DNSポイズニングでOurMineのメッセージが表示
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事、V3の記事、The Vergeの記事、The Guardianの記事)。
ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。
この件について、ジュリアン・アサンジ氏やWikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。
一方、WikiLeaksは同日、米中央情報局(CIA)がWindowsデバイスをターゲットに使用していたという「Angelfire」のドキュメントをVault 7プロジェクトで公開している(Vault 7 — Angelfire、Softpediaの記事)。
Angelfireはブートセクターを改変するSolartime、改変されたブートコードが読み込むカーネルコードWolfcreek、ユーザーモードでマルウェアを実行するKeystone(MagicWand)、隠しファイルシステムBadMFS、Angelfireのインストーラー作成に使用するWindows Transitory Fileシステムという5つのコンポーネントで構成される。Keystoneが起動したプロセスはタスクマネージャーに「svchost.exe」として表示されるなど、存在を発見されにくくするさまざまな仕掛けが用意されている。対応環境はWindows XP/7/Server 2008 R2となっている。
スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩
関連ストーリー:
米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」 2017年08月26日
ターゲットPCへの物理的なアクセスの証拠を消すCIAのツール「Dumbo」 2017年08月06日
LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 2017年07月04日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク