WikiLeaksがCIAによるマルウェアプラットフォームHIVEのリポジトリを公開
リークサイト(WikiLeaks - Vault 8): https://wikileaks.org/vault8/
Vault 8 is 何?
3行で言うと。
- 2017年11月9日、 WikiLeaksが、米国CIAによって開発、運用されていた(る?)「HIVE」と呼ばれるプラットフォームのソースコードリポジトリ、およびコミットログを公開し、このリークを「Vault 8」と名付けた
- 今回の公開にゼロデイ、脆弱性は含まれない(以前のリークのように、悪用されるようなことは起きない)
- HIVEについては、ドキュメントはVault 7の段階ですでにリークしていたが、これの本体がリークした形
ってかHIVEって何だろう?
Vault 7 / HIVE are 何?
先にVault 7でリークされていた情報からおさらいした方がわかりやすいかもしれないということで。
-
Vault 7におけるHIVE関連のリーク https://wikileaks.org/vault7/#Hive
-
Vault 7でリークされていたHIVEに関するドキュメントは以下の6つ。
- Users Guide (2015年11月9日)
- Developers Guide (2014年10月15日)
- Developers Guid (Figures)
- Hive Beacon Infrastructure
- Hive Infrastructure Installation and Configuration Guide (2012年11月11日)
- Infrastructure Switchblade (2014年4月30日)
HIVEについて、 Vault7における説明 より抜粋
- HIVEはVault 7におけるリーク内容の1つで、CIAの"Embedded Development Branch" (EDB)によるプロジェクト「HIVE」に関する6つの文書を公開
- HIVEは「バックエンドマルウェアインフラストラクチャ」
- ターゲット上で稼働するマルウェア(「インプラント、implants」と表現)からの窃取情報を受け取ったりターゲット上で行うタスクの指示を出したりする
- 特徴としては、表に立つHTTPSインタフェース(サーバー)が疑わしく見えるものではないため存在に気付くのが極めて困難
- アンチウィルスベンダーやフォレンジック調査のエキスパートは、一部のインプラントが行う通信から、何らかのバックエンドインフラストラクチャで使用されている、国家主体のマルウェアが存在することは気づいていたがバックエンドがCIAによるオペレーション(作戦)によるものであることまでは特定できずにいた。
もう少し詳しく。
- プラットフォームとしては、Windows、Solaris、ルーターのファームで使われるMikroTik、Linuxに対応したカスタマイズ可能なインプラント、リッスンポート(LP)、そしてC2インフラストラクチャーからなる
- インプラントはカバードメインのウェブサーバーとHTTPSで通信し、カバードメインは無制限の数、扱うことが可能
- ドメインはそれぞれ商用のVPSプロバイダに存在するIPアドレスに解決する
- フロントのサーバーが受信したトラフィックは、VPNを使用して「Blotサーバー」に転送され、「Blotサーバー」がクライアントからの接続要求を受け付ける
- インプラントのみが持つ有効なクライアント証明書を受け取った場合のみ、通信は「Honeycomb(ハチの巣)」ツールサーバーに転送されるが、有効なクライアント証明書が存在しない通信についてはあたかも普通のウェブサイトのように見えるサーバーに転送される
- 「Honeycomb(ハチの巣)」ツールサーバーは、インプラントが収集した情報を受け取ったり、ターゲットコンピューターで行うジョブをインプラントに課したりするため、要はツールサーバーというのはインプラントにとってのC2サーバーといえる
一言でいうと、「それと気づくのが非常に困難な国家主体のボットネット」というところか?。調査しようとしても彼らがバラまいた「インプラント」を相手にしないと正常動作をしないから。アンチフォレンジック、アンチリバースエンジニアリングみたいなものと同じで隠れようとされてしまうとかなり見つけづらい。
リークされたVault8のファイル自体はここからダウンロード可能。
https://wikileaks.org/vault8/ → Leaked Documents → Hive Repository
中身をざーーーっと見てみたけど、意外とTODO止まりでここ実装されていないのかーとか、「これはマルチプラットフォームとはいえこのOSにしか対応してないんだ?」みたいなところとか、デバッグ用コードなどなどがあったり。そして確かにゼロデイ、脆弱性を利用した攻撃をして、というような箇所は見当たらない(脆弱性、攻撃コードが使われるのはこのインプラントが設置されるまでのフェーズなのでしょう。と思う。)という印象。
そしてこの中で、話題になっているのが以下のあたり。SSL証明書でカスペルスキーの名前が使われていた。CIAがサイバー空間のスパイ行為でカスペルスキーのフリをしていたということだ。
WikileaksのTwitterアカウントのコメント
"New WikiLeaks publication reveals CIA wrote code to impersonate Kaspersky Labs anti-virus company "
「今回のWikiLeaksの公開文書で、CIAがアンチウィルス企業のカスペルスキーをなりすますコードを書いていたことが明らかに」
カスペルスキー氏によると
"We've investigated the Vault 8 report and confirm the certificates in our name are fake. Our customers, private keys and services are safe and unaffected" (Eugene Kaspersky)
「Vault8のレポートを調査し、カスペルスキーの名前が使われていることがわかったがこれらの証明書は偽物だ。我々の(証明書を生成するのに必要な)秘密鍵は漏洩しておらず、サービスは安全で影響もない!
(Eugene Kaspersky氏)」
Kasperskyの社名が入っているサーバー証明書
https://wikileaks.org/vault8/document/repo_hive/client/ssl/CA/server_crt/
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
Validity
Not Before: Sep 30 20:27:29 2010 GMT
Not After : Sep 24 20:27:29 2035 GMT
Subject: C=RU, O=Kaspersky Laboratory, CN=www.kaspersky.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:b7:78:84:a2:8c:c3:c6:5d:fe:0f:8a:a0:b2:b3:
08:83:a0:b0:f7:ba:c2:65:a9:03:0f:c0:99:f5:9c:
cb:2b:77:ca:1a:30:8b:30:84:98:9d:9d:61:ee:e9:
07:3a:7e:f5:68:fc:0b:ef:3a:e7:72:36:a6:77:4f:
ここで重要なのは、CIAが「カスペルスキーのふりをする」能力があった、ということ。米国に対するロシアによるスパイ活動におけるカスペルスキー関与説(http://www.newsweekjapan.jp/stories/world/2017/09/post-8452.php)があったりしたわけだが、実はCIA自身がカスペルスキーのふりをしていたよ、ということ。そしてVault8をHIVEのリポジトリの一部としてVault7とは別に個別にリークしたのは、この部分にフォーカスさせる狙いがあったのだろうか。闇が深すぎて底の方がまったく見えないね・・・。
日本でもメディアの偏向報道が問題視されたり様々な陰謀論があったりするわけだけど、こういうリークを見ると「当たり前」だと思っていることほど実は操作、ねつ造された事実だったりすることも十分現実的であるし、何が真実なのかなんてわからないなぁ・・・
まとめ: それでも僕は やってない
