Category Archives: Security Response News

2013 ????????????????????Cyclosa ????????

      No Comments on 2013 ????????????????????Cyclosa ????????

昨年、セキュリティニュースのレポーター、ブライアン・クレブス(Brian Krebs)氏は、ある攻撃者グループが複数の企業に侵入して重要な顧客情報を盗み出し、オンラインの個人情報売買サイト SSNDOB で販売していることを発見しました。この攻撃者グループが侵入したのは、一般消費者や企業のデータの大手アグリゲータやソフトウェア開発企業など何社ものネットワークです。クレブス氏が明らかにしたところによると、このグループは盗み出したデータを SSNDOB に公開し、米国と英国の一般ユーザーに関する個人情報を販売していました。

シマンテックは、このグループが SSNDOB の背後で行っていた攻撃を調査し、このグループを「Cyclosa(ゴミグモ)」と命名しました。調査を進めるうちに、オンラインフォーラムでこのグループの中心的メンバーと目されている人物として、アブハジア在住の Armand Arturovich Ayakimyan という 24 歳の青年を特定しました。この事案をさらに調べると、この青年は大掛かりな個人情報窃盗の実行方法について情報を探っていたことをきっかけに、サイバー犯罪フォーラムに出入りするようになったことが判明しました。それだけでなく、Cyclosa グループが多数の企業や組織に侵入しており、なかにはグルジアの政府機関や信用組合、銀行なども含まれていることも突き止めています。

Armand の正体
Armand は 1989 年 8 月 27 日アブハジアで生まれました。ロシアとグルジアの国境付近、コーカサス地方の紛争地域です。アブハジアと周辺の諸地域は 1991 年から 1993 年にかけて紛争状態に突入します。そのひとつ、1992 年から翌 93 年のアブハジア戦争では、アブハジアとグルジアが同地域の独立をめぐって衝突しました。シマンテックの調査によると、Armand は 2010 年初めにアブハジアの首都スフミから、ほど近いロシアの町ソチに転居しています。これは SSNDOB 開設の直前のことです。

ソーシャルメディアでの自身のプロフィール(現在は削除されています)によると、Armand は Web 開発と IT に高いスキルを持っているとしています。また、オンラインロールプレイングゲーム『イブオンライン(EVE Online)』のファンでもあるようです。

成人後の Armand は、写真スタジオ勤務や化粧品会社の営業マネージャーなど職を転々とします。その一方、自分の技術スキルを正規の仕事に活かすことも考え、オンラインの出会い系サイトや、アブハジアの物件を扱う不動産業の Web サイトなども計画しましたが、どちらも実現までには至りませんでした。2013 年の時点で、Armand はロシアの教会で働いていたようです。

Armand の初期のサイバー犯罪歴
2007 年以前に、Armand はすでに詐欺行為に関与していたらしく、これはオーストラリアのユーザーの銀行口座情報を狙ったものでした。このとき Armand はサイバー犯罪を手掛ける技術を持っていたようですが、さらに大掛かりな金融詐欺を仕掛けるには、まだスキルが不足していました。

2007 年、Armand はサイバー犯罪フォーラムのアカウントを取得し、セキュリティで保護されていない Wi-Fi 接続を通じて個人情報を盗み出す方法を他のユーザーに尋ねています。フォーラムでは、Armand の未熟さをほのめかしつつ、その手の情報ならインターネット上を検索してもっと勉強すべきだという回答がありました。

その年の終わり頃、Armand はこのフォーラム上で「新鮮な情報」を謳い文句に、盗み出した個人情報を 2.5 米ドルで売り始めます。その間も、チャットアカウントを乗っ取る方法など、さまざまな攻撃手法についてアドバイスを求める投稿を続けていました。

2008 年になると、リモートアクセス型のトロイの木馬を使って、侵入したコンピュータから情報の収集を始めます。当時流行していたトロイの木馬 Pinch とその協力者に暗号化サービスを依頼し、マルウェアを秘匿して他のプログラムに紛れ込ませようとしました。Armand が、さらに儲けをあげるべく米国と英国のユーザーを標的にし始めたのも、同じ年のことです。

共犯者
2009 年の初頭、Armand はサイバー犯罪フォーラムでそれぞれ「Tojava」、「JoTalbot」、「DarkMessiah」と名乗る 3 人の人物と共犯関係にあるという証拠が見つかりました。この組織にはほかにも関与していた人物がいるかもしれませんが、このグループの中心は明らかにこの 4 人です。4 人はマルウェアベースの検索エンジン最適化、ペイパークリック攻撃など、膨大なサイバー犯罪行為を実行したほか、乗っ取ったチャットアカウント、ボットネットトラフィック、個人情報や銀行口座情報なども売買していました。Armand と Tojava の関係が、SSNDOB の成立に大きく関わっています。Tojava は、Armand をサイバー犯罪とカード詐欺の世界に引きずり込んだ張本人と目されています。検索エンジンや社会保障番号のクエリースクリプトなど、SSNDOB の技術機能の多くは Tojava が作ったものとシマンテックは考えています。

この前後に、Armand は「大規模な FTP サイト」へのアクセス方法を「発見」し、何社かの旅行代理店の Web サイトに出入りできるようになったと述べています。そうしたアクセス権を最大限に活用する方法についても、Armand はフォーラムでアドバイスを求めていました。2 カ月後、Armand は 75,000 件から 85,000 件ものロシアの期限切れパスポートのデータベースを、FTP サイトまたはアカウントと、侵入したサーバーへの「アクセス権」とともに販売するという広告を掲載しています。Cyclosa グループが大々的に企業に侵入した最初のきっかけが、このデータベースだったようです。

SSNDOB の誕生
旅行代理店に侵入した直後、Armand と Tojava はオンラインの個人情報売買サイトを開設する意図を示し、カード決済をチェックして処理するツールも検討し始めました。それと同時に、2 人は Cyclosa グループの攻撃機能についても強化を続け、警察でさえ検知できないほど徹底的にハードディスクの内容をワイプ(消去)するマルウェアを開発したり、米国と英国で大量のボットネットトラフィックを取得したりといった活動に取り組んでいます。

この年の終わり頃、Armand は SSNDOB の最初のドメインを取得しますが、その登録に本名(フルネーム)と実際の電話番号を使っていたのは、不思議としか言いようがありません。2010 年に入って、SSNDOB は正式に業務を開始します。0.5 ~ 2.5 米ドルで個人情報を販売したほか、クレジットカード情報や身元調査情報も 5 ~ 15 米ドルで提供していました。

データ侵害
SSNDOB の在庫を維持するために、Cyclosa グループは企業を攻撃して個人情報のデータベースを盗み出し続ける必要がありました。クレブス氏のレポートに記載されている大々的なデータ侵害のほかにも、シマンテックは Cyclosa グループが多くの企業に侵入したことを確認しています。2012 年 5 月には、Cyclosa グループは米国に拠点を置く信用組合に侵入し、その数カ月後には、米国カリフォルニア州の銀行と、グルジアの政府機関にも侵入しています。グルジアの政府機関に米国や英国のユーザーに関する情報がそれほど多く記録されているとは思えませんが、Armand の経歴からすると、この攻撃には Cyclosa グループの個人的な意図があったとも考えられます。

正体を現した SSNDOB
2013 年 3 月、SSNDOB はついに失策を犯しました。それを最初に伝えたのが、情報売買サイトに関するクレブス氏の調査報告です。クレブス氏がこれを報じた 3 日後、Armand はヨーロッパのソーシャルネットワークサイト VK からプロフィールを削除しています。

にもかかわらず、Cyclosa グループがその活動を停止することはありませんでした。SSNDOB のために新しいドメイン名を取得し続け、英国に拠点を持つナイジェリアの金融機関の従業員のコンピュータにも侵入しています。2013 年を通じて、Cyclosa グループは主要なデータブローカーやソフトウェア開発企業からデータを盗み出し続けました。2013 年にも活動がエスカレートし続けたことを考えると、Cyclosa グループの息の根が止まったとは言えないのかもしれません。

単独犯の時代から、組織化されたサイバー犯罪グループに至るまで、Armand が辿ってきた経歴を以下の図にまとめました。

cyclosa_infographic_past_to_present_v2.png

シマンテックの保護対策
シマンテックは、今回お伝えした攻撃から保護するために、以下の保護対策を提供しています。

ウイルス対策

侵入防止システム

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

IoT ??????????????????

      No Comments on IoT ??????????????????

DarllozConcept.png

昨年 11 月、シマンテックは Linux.Darlloz と呼ばれる IoT(モノのインターネット)ワームを確認しました。このワームは、Intel x86 アーキテクチャを搭載したコンピュータを標的としています。さらには、ARM、MIPS、PowerPC アーキテクチャを搭載したデバイスも対象としています。これらのアーキテクチャは通常、ルーターやセットトップボックスにも使われています。最初に Linux.Darlloz を発見して以来、シマンテックは 1 月中旬にこのワームの新しい亜種を発見しました。シマンテックの分析では、このワームの作成者はコードの更新と新機能の追加を繰り返し、特に金銭的利益を得ることを目的としているようです。

シマンテックで 2 月にインターネットの IP アドレス空間全体をスキャンしたところ、Linux.Darlloz に感染したデバイスが 31,000 台以上も見つかりました。

コインマイニング
さらに、このワームの現在の目的が暗号通貨のマイニング(採掘)であることが判明しました。Intel アーキテクチャを搭載したコンピュータがこの新しい亜種に感染すると、cpuminer というオープンソースのコインマイニングソフトウェアがインストールされます。その後、ワームは、感染したコンピュータ上で Mincoin や Dogecoin のマイニングを始めます。2014 年 2 月末までに、攻撃者は 42,438 Dogecoin(このブログの執筆時点のレートで約 46 米ドル)と 282 Mincoin(同じく約 150 米ドル)を採掘しました。これらの金額は平均的なサイバー犯罪活動に比べると少ないため、攻撃者は収益を増大させるために脅威を進化させ続けると予想できます。

このワームの新しいコインマイニング機能の影響を受けているのは、Intel x86 アーキテクチャを搭載したコンピュータのみであり、IoT デバイスへの影響はまだ確認されていません。一般的に、IoT デバイスでコインマイニングを行うには、より多くのコストと高性能な CPU が必要になります。

Mincoin と Dogecoin が狙われる理由
このワームは、より価値の高い有名な暗号通貨 Bitcoin ではなく、Mincoin と Dogecoin のマイニングを目的としているようです。この理由は、Mincoin と Dogecoin が scrypt アルゴリズムを使用しているためです。Bitcoin で利益を上げるにはカスタム ASIC チップが必要ですが、一方 scrypt アルゴリズムであれば、家庭用 PC でもまだ十分にマイニングが可能です。

新たな標的
初期バージョンの Darlloz は、ルーターやセットトップボックス用のユーザー名とパスワードの組み合わせが 9 つ保持していました。現在、最新バージョンにはこれらのログイン情報の組み合わせが 13 個あり、施設の遠隔監視によく使われる IP カメラにも対応しています。

IoT デバイスが狙われる理由
IoT(モノのインターネット)は、あらゆるタイプのデバイスが接続される仕組みです。PC を攻撃から保護しているユーザーは多いものの、IoT デバイスも保護する必要があることはあまり知られていません。通常のコンピュータとは違い、多くの IoT デバイスはデフォルトのユーザー名とパスワードが設定された状態で出荷され、多くのユーザーはこれらを変更していません。そのため、デフォルトのユーザー名とパスワードを使用している IoT デバイスは、攻撃の恰好の標的となるわけです。また、これらのデバイスの多くには、修正パッチが適用されていない脆弱性が含まれており、ユーザーはそのことに気付いていません。

今回の脅威はコンピュータ、ルーター、セットトップボックス、IP カメラを対象としていますが、将来的にはホームオートメーションデバイスやウェアラブルテクノロジなどの他の IoT デバイスも狙うように更新される可能性があります。

他の攻撃者の遮断
以前のブログで説明したように、このワームは、Linux.Darlloz が既に侵入したデバイスを他の攻撃者やワーム(Linux.Aidra など)に狙われるのを阻止します。マルウェア作成者は、昨年 11 月にこのワームをリリースしたときから、この機能を実装していました。

1 月始めには、多数のルーターであるバックドアに関する報告が公開されました。このバックドアを利用すると、攻撃者はリモートからルーターにアクセスして、ユーザーのネットワークに侵入することが可能になります。Darlloz の作成者にとってこれは脅威となるため、感染したデバイス上で新しいファイアウォールルールを作成することで、バックドアポートへのアクセスを遮断する機能を実装し、他の攻撃者が同じバックドアから侵入できないようにしたのです。

確認されている感染状況
デバイスに感染すると、Darlloz は拡散のためにポート 58455 で HTTP Web サーバーを開始します。サーバーはワームファイルをホストし、誰でも HTTP GET 要求を使ってこのポートからファイルをダウンロードできるようにします。シマンテックでは、このポートを開いて静的パスで Darlloz ファイルをホストする IP アドレスを調べました。Darlloz ワームがダウンロード可能であることを前提として、ホストサーバーの OS フィンガープリントの収集を試みたところ、以下の統計情報から感染状況の概要が分かりました。

  • Darlloz の感染が判明した IP アドレス: 31,716
  • Darlloz による感染の影響を受けた地域: 139
  • 感染した IP アドレスから判明した OS フィンガープリント: 449
  • Linux 上で稼働する Intel ベースのコンピュータまたはサーバーに対する Darlloz 感染: 43 %
  • ルーター、セットトップボックス、IP カメラ、プリンタなどの各種 IoT デバイスに影響を与えたと思われる Darlloz 感染: 38 %

DarllozPie.png

図 1. Darlloz 感染が報告された上位 5 つの地域

すべての Darlloz 感染のうち半数が、中国、米国、韓国、台湾、インドの 5 つの地域で発生しています。これらの地域で感染報告が多い理由として最も考えられるのは、インターネットユーザー数の多さと IoT デバイスの普及率の高さです。

IoT デバイスの感染
IoT デバイスのユーザーは、マルウェアに感染していても気付かない可能性があります。その結果、このワームの侵入を受けたコンピュータと IoT デバイスは 4 カ月間で 31,000 台にも及び、被害は今も広がり続けています。マルウェア作成者は、テクノロジの状況変化に応じて、今後もこのワームに新機能を加えることが予想されます。シマンテックでは、引き続きこの脅威を監視していきます。

対策

  • コンピュータや IoT デバイスにインストールされているすべてのソフトウェアにセキュリティパッチを適用する
  • すべてのデバイス上のファームウェアを更新する
  • すべてのデバイス上でデフォルトのパスワードを変更する
  • ポート 23 または 80 での外部からの接続が不要であれば、この接続を遮断する

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cyclosa, el Grupo Detrás de los Mayores Robos de Datos en 2013

      No Comments on Cyclosa, el Grupo Detrás de los Mayores Robos de Datos en 2013

El año pasado, el reportero en temas de seguridad Brian Krebs, descubrió que un grupo de criminales logró comprometer a varias compañías, robar información sensible de sus clientes y vender los datos a través de una tienda clandestina de identidades en línea, conocida como SSNDOB. Los atacantes irrumpieron en las redes de importantes negocios que agregan y usan datos de clientes y empresas, así como a una compañía desarrolladora de software. Krebs dio a conocer que los ladrones pusieron a la venta la información robada en SSNDOB, permitiendo así que sus clientes pudieran adquirir datos confidenciales de diversos ciudadanos de los Estados Unidos y el Reino Unido.

Symantec investigó los ataques que llevó a cabo la banda responsable de SSNDOB, a quienes denominamos como grupo Cyclosa. Durante las investigaciones, localizamos a uno de los dueños de este servicio, quien en varios foros en línea se identifica como Armand Arturovich Ayakimyan, un hombre de 24 años, originario de la República de Abjasia. Al adentrarnos en el caso, aprendimos cómo este individuo comenzó a visitar un foro de crimen cibernético buscando información para poder llevar a cabo una operación masiva de ataques para el robo de identidades. Además, Symantec encontró que el grupo Cyclosa también accedió a varias firmas, incluyendo una agencia del gobierno de Georgia, una institución de crédito y un banco.

¿Quién es Armand?

Armand nació el 27 de agosto de 1989 en la República de Abjasia, un territorio ubicado en la vertiente suroccidental de la cordillera del Cáucaso que colinda con Rusia y Georgia. Abjasia y otras regiones sufrieron distintos conflictos de 1991 a 1993. Uno de ellos fue la disputa territorial con Georgia, buscando su independencia, conocido como la Guerra de Abjasia, (de 1992 a 1993). De acuerdo con nuestra investigación, se mudó de Sujumi, capital de Abjasia, a la ciudad de Sochi en Rusia, justo antes de lanzar la tienda SSNDOB.

Uno de los perfiles de Armand en las redes sociales, mismo que ha sido eliminado, menciona que tiene conocimientos en desarrollo Web y TI. También se declara fanático del juego de roles en línea llamado EVE Online.

Pareciera que Armand tuvo pocos movimientos durante su carrera profesional. Colaboró en un estudio fotográfico y fue gerente de ventas para una compañía de cosméticos. Además consideró utilizar sus conocimientos técnicos para trabajos legítimos, ya que escribió sobre la posible creación de un sitio de citas en línea y una página web de bienes raíces para comercializar propiedades en Abjasia. Sin embargo, ninguno de estos proyectos se hizo realidad. En 2013 parecía que Armand trabajaba para una iglesia en Rusia.

Los inicios de Armand en el cibercrimen

Antes de 2007, Armand pudo haber estado involucrado en un fraude enfocado en el robo de datos financieros de ciudadanos australianos. Comenzaba a mostrar sus habilidades en el cibercrimen, pero todavía tenía mucho que aprender para ejecutar fraudes de mayor dimensión.

En 2007 se registró en un foro de cibercrimen y solicitó consejo a otros usuarios sobre el robo de datos de personas a través de conexiones inseguras WiFi. Otro usuario le comentó que utilizara un buscador para investigar más sobre el tema, sugiriendo que Armand todavía tenía mucho que aprender.

Hacia finales de ese año, ya había comenzado a vender información robada, ofreciendo en dichos foros “reportes actualizados” a un precio de $2.50 dólares. Continuó solicitando consejos sobre varios métodos de ataque, así como posibles maneras de secuestrar cuentas de chats.

En 2008 comenzó a experimentar el uso de Troyanos de acceso remoto para obtener información de las computadoras afectadas. Además solicitó servicios de encriptación de datos para el famoso Troyano Pinch mediante un archivo adjunto que permitía ocultar el malware y ligarlo con otros programas. Durante ese año, Armand comenzó a atacar ciudadanos de los Estados Unidos y el Reino Unido, esperando obtener más dinero durante el proceso.

Sus cómplices

A principios de 2009, se encontró evidencia de la asociación de Armand con otras tres personas que utilizaban los pseudónimos “Tojava”, “JoTalbot” y “DarkMessiah” en los foros de cibercrimen. Es posible que hubiera más actores involucrados con la organización, pero estos cuatro individuos fueron identificados como los principales responsables del grupo. Los cuatro llevaron a cabo diversos actos de cibercrimen, como la optimización de motores de búsqueda basada en malware y esquemas de pago-por-click. Además adquirieron y vendieron cuentas de chat secuestradas, robots informáticos, así como información personal y financiera. La relación de Armand con Tojava fue clave para la creación de SSNDOB. Tojava fue el responsable de introducir a Armand al mundo del cibercrimen y los fraudes con tarjetas. Creemos que Tojava desarrolló muchas de las características técnicas de SSNDOB, como su motor de búsqueda y scripts que recopilaban números de seguridad social.

Durante esta etapa, Armand mencionó que había encontrado el ingreso a un “gran sitio FTP”, que le brindó un punto de acceso a los sitios web de varias agencias de viaje. Consultó a otros miembros del foro para saber cómo aprovechar al máximo este acceso. Dos meses después puso a la venta una base de datos de 75,000 a 85,000 pasaportes rusos vencidos, así como el acceso FTP, las cuentas y los “derechos” para ingresar a un servidor. Ésta pudo haber sido la primera brecha de seguridad de gran dimensión que logró Cyclosa.

La creación de SSNDOB

Poco tiempo después de haber comprometido a las agencias de viaje, Armand y Tojava mostraron interés en abrir una tienda en línea para vender identidades robadas y buscar más herramientas para revisar y procesar pagos con tarjetas de crédito. Junto con esto, ambos continuaron afinando la capacidad de ataque de Cyclosa, buscando malware que pudiera borrar a fondo los discos duros para no dejar evidencia alguna a las autoridades, así como alcanzar mayor volumen de tráfico a través de botnets en los Estados Unidos y el Reino Unido.

A finales de ese año, Armand registró el primer dominio de SSNDOB utilizando únicamente su nombre real, apellido y número telefónico. A principios de 2010 SSNDOB fue oficialmente abierta al público. La tienda vendió archivos con información personal con un precio que iba de $0.50 a $2.50 dólares y ofrecía datos crediticios y revisión de antecedentes a un costo de $5.00 a $15.00 dólares.

Las brechas de seguridad

Para mantener el inventario de la tienda, el grupo Cyclosa siguió atacando a compañías en busca de bases de datos con información personal. Además de las brechas que mencionó el reporte de Kreb, Symantec encontró que este grupo comprometió a diversas empresas. En mayo de 2012, Cyclosa atacó una unión crediticia con base en los Estados Unidos. Pocos meses después comprometieron a un banco con sede en California y a una agencia del gobierno de Georgia. Aunque esta agencia no contaba con información acerca de ciudadanos americanos y del Reino Unido, es posible que dicho ataque fuera de interés personal para Cyclosa, tomando en cuenta los antecedentes de Armand.

Revelan a SSNDOB

En marzo de 2013, SSNDOB tuvo su primer traspié cuando Kreb expuso a la tienda en un reporte de investigación. Tres días después de que Kreb presentó el artículo, Armand borró su perfil de la red social europea llamada VK.

Sin embargo, el grupo no dio marcha atrás. Registraron un nuevo domino para SSNDOB y comprometieron la computadora de un empleado de una institución financiera nigeriana con presencia en el Reino Unido. A lo largo de 2013 la banda robó información de varios agentes de datos así como de una compañía desarrolladora de software. Tomando en cuenta cómo estos criminales continuaron incrementado sus actividades en 2013, es muy posible que esta no sea la última vez que escuchemos acerca de Cyclosa.

La siguiente infografía muestra el camino de Armand, desde que inició operaciones de manera individual hasta que formó una banda organizada especializada en el cibercrimen.

cyclosa_infographic_past_to_present_v2[2].png

Protección de Symantec

Symantec cuenta con protección para los ataques mencionados en este documento:

AV

IPS

Meet Cyclosa, the Gang Behind 2013’s Biggest Data Thefts

      No Comments on Meet Cyclosa, the Gang Behind 2013’s Biggest Data Thefts

Last year, security reporter Brian Krebs discovered that a group of attackers managed to compromise multiple companies, steal sensitive customer data and sell the details through an online identity theft store known as SSNDOB. The attackers broke into the networks of a number of major consumer and business data aggregators as well as a software development firm. Krebs revealed that the attackers then put the stolen data for sale on SSNDOB, allowing their customers to buy personal details belonging to US and UK citizens.

Symantec looked into the attacks conducted by the group behind SSNDOB, who we call the Cyclosa gang. During our investigations, we managed to identify one of the owners of the service who claims in online forums to be Armand Arturovich Ayakimyan, a 24-year-old man from Abkhazia. As we looked further into this case, we learned how he started as a visitor to a cybercrime forum looking for information on how to conduct attacks to operating a major identity theft operation. Not only that, but Symantec also found that the Cyclosa gang breached a number of other firms, including a Georgian government agency, a credit union and a bank.

Who is Armand?
Armand was born on August 27, 1989 in Abkhazia, a disputed territory in the Caucasus that borders Russia and Georgia. Both Abkhazia and a number of other regions nearby were beset with conflicts between 1991 and 1993. One conflict was the War in Abkhazia from 1992 to 1993, a dispute involving Abkhazia and Georgia over the region’s independence. According to our research, Armand moved from the capital of Abkhazia, Sukhumi, to the nearby Russian city of Sochi in early 2010 just before launching SSNDOB.

On one of Armand’s social media profiles, which has since been deleted, he says he is skilled in Web development and IT. He also appears to be a fan of the online role player game EVE Online.

Armand appears to have made a few career moves throughout his adult life, including working in a photo studio and becoming a sales manager for a cosmetics firm. He also considered using his technical skills for legitimate work, as he discussed creating an online dating service and a real estate website for properties in Abkhazia. However, neither of these services became a reality. In 2013, Armand appeared to be working at a church in Russia.

Armand’s early cybercrime life
Before 2007, Armand may have been involved in fraud, targeting Australian citizens’ financial details. While Armand appeared to have some abilities to conduct cybercrime, he still needed to learn more to run bigger financial scams.  

In 2007, he registered an account on a cybercrime forum and asked other users for advice on how to steal people’s data through their unsecured WiFi connection. Another user told him to use a search engine to do more research on the matter, suggesting that Armand still had a lot to learn.

Towards the end of that year, Armand had started to sell stolen information, offering “fresh reports” on these forums for US$2.50. He continued to seek advice on a number of attack methods, such as how to hijack chat accounts.

In 2008, he began to explore the use of remote access Trojans to obtain information from compromised computers. He requested encryption services for the popular Pinch Trojan along with a joiner, which would allow him to hide the malware and bundle it with other programs. During this year, Armand began to target US and UK citizens, hoping to make more money in the process.

Partners in crime
At the start of 2009, evidence emerged of Armand’s partnership with three other people who used the handles “Tojava”, “JoTalbot” and “DarkMessiah” on cybercrime forums. There may be other players involved with this organization but these four individuals appear to be the main actors in this group. The four of them carried out numerous acts of cybercrime, such as conducting malware-based search engine optimization and pay-per-click schemes. They also bought and sold hijacked chat accounts, botnet traffic, and personal and financial information. Armand’s relationship with Tojava was vital for the formation of SSNDOB. Tojava was allegedly responsible for introducing Armand to the world of cybercrime and carding. We believe that Tojava created many of SSNDOB’s technical features, such as its search engine and its social security number query scripts.

Around this time, Armand said that he “found” access to a “large FTP site,” giving him a point of entry to several travel agencies’ websites. He asked other forum members for advice on how to make the most of this access. Two months later, Armand advertised the sale of a database of 75,000 to 85,000 expired Russian passports, along with FTP space or accounts and the “rights” to a compromised server. This may have been the Cyclosa gang’s first major breach of a company.

Establishing SSNDOB
Soon after the breach of the travel agencies, Armand and Tojava were seen expressing interest in opening an online identity theft store and seeking tools to check and process card payments. Along with this, the pair continued to update the Cyclosa gang’s attack capabilities, seeking malware that could wipe hard drives thoroughly enough to avoid police detection and looking into getting high volumes of US and UK botnet traffic.

By the end of the year, Armand registered SSNDOB’s first domain using, oddly enough, his real first and last name and his phone number. At the start of 2010, SSNDOB was officially open for business. It sold personal data records from US$0.50 to US$2.50 and offered credit and background checks from US$5 to US$15.

The breaches
To keep their store stocked, the Cyclosa gang had to continue to attack companies for their databases of personal data. Along with the major breaches covered in Krebs’ report, Symantec found that the Cyclosa gang compromised a number of other firms. In May 2012, the Cyclosa gang breached a US-based credit union. A few months later, they compromised a bank based in California, USA, and a Georgian government agency. While the Georgian agency may not have a lot of information pertaining to US and UK citizens, it’s possible that this attack was of personal interest to the Cyclosa gang, considering Armand’s background.

SSNDOB revealed
In March 2013, SSNDOB had a setback, as Krebs first exposed the store in an investigative report. Three days after Krebs released the article, Armand deleted his profile on European social network VK.

However, despite this, the Cyclosa gang did not stop their activities. They went on to register a new domain name for SSNDOB and compromised an employee’s computer at a Nigerian financial institution with a presence in the UK. Throughout 2013, the Cyclosa gang stole data from major data brokers, along with a software development company. Considering how the attackers’ continued to escalate their activities in 2013, this may not be the last we hear of the Cyclosa gang.

The following infographic charts the path Armand made, taking him from a one man operation to an organized cybercrime gang.

cyclosa_infographic_past_to_present_v2.png

Symantec protection
Symantec has the following protections in place for the attacks mentioned in this blog:

AV

IPS

25,000 Servidores Linux y Unix han sido comprometidos en la Operación Windigo

      No Comments on 25,000 Servidores Linux y Unix han sido comprometidos en la Operación Windigo

Recientemente, varios investigadores en seguridad presentaron un documento que describe una operación larga y compleja, denominada “Operación Windigo”. Desde 2011, año en que comenzó esta campaña, más de 25,000 servidores Linux y Unix han sido comprometidos para obtener las credenciales Secure Shell (SSH) con el fin de redireccionar a los usuarios web hacia contenido malicioso y para distribuir spam. Organizaciones muy conocidas, como cPanel y Fundación Linux han sido confirmadas como víctimas. Los sistemas operativos que han sido blanco de estos ataques incluyen a OS X, OpenBSD, FreeBSD, Microsoft Windows y varias distribuciones de Linux. El documento señala que Windigo es responsable de enviar diariamente un promedio de 35 millones de mensajes spam. Adicionalmente, más de 700 servidores Web han redireccionado a más de 500,000 visitantes diariamente hacia contenidos maliciosos.

Este documento enlista tres principales componentes maliciosos (detección de nombres de ESET):

• Linux/Ebury – un backdoor OpenSSH que se utiliza para controlar servidores y robar credenciales.

• Linux/Cdorked – un backdoor HTTP utilizado para redireccionar tráfico Web.

• Perl/Calfbot – un script Perl utilizado para enviar spam.

Las consistentes campañas de los agresores se han convertido en algo común. Con los recursos adecuados, motivación y deseo, quienes atacan pueden obtener recompensas importantes por estas acciones. Dichas actividades tienen el objetivo de atacar organizaciones específicas para identificar y filtrar información delicada, pero el objetivo nuevamente ha sido económico, a través de redirecciones Web, spam y descargas automáticas.

Protección de Symantec

Los clientes de Symantec están protegidos contra el malware utilizado en la Operación Windigo con las siguientes firmas:

AV

IPS

Más información sobre la investigación acerca de la Operación Windigo está disponible en el blog de ESET.

IoT Worm Used to Mine Cryptocurrency

      No Comments on IoT Worm Used to Mine Cryptocurrency

DarllozConcept.png

Last November, we found an Internet of Things (IoT) worm named Linux.Darlloz. The worm targets computers running Intel x86 architectures. Not only that, but the worm also focuses on devices running the ARM, MIPS and PowerPC architectures, which are usually found on routers and set-top boxes. Since the initial discovery of Linux.Darlloz, we have found a new variant of the worm in mid-January. According to our analysis, the author of the worm continuously updates the code and adds new features, particularly focusing on making money with the worm.

By scanning the entire Internet IP address space in February, we found that there were more than 31,000 devices infected with Linux.Darlloz.

Coin mining
In addition, we have discovered the current purpose of the worm is to mine cryptocurrencies. Once a computer running Intel architecture is infected with the new variant, the worm installs cpuminer, an open source coin mining software. The worm then starts mining Mincoins or Dogecoins on infected computers.  By the end of February 2014, the attacker mined 42,438 Dogecoins (approximately US$46 at the time of writing) and 282 Mincoins (approximately US$150 at the time of writing). These amounts are relatively low for the average cybercrime activity so, we expect the attacker to continue to evolve their threat for increased monetization.

The worm’s new coin mining feature only affects computers running the Intel x86 architecture and we haven’t seen it impact IoT devices. These devices typically require more memory and a powerful CPU for coin mining. 

Why Mincoin and Dogecoin?
The worm appears to aim at mining Mincoins and Dogecoins, rather than focusing on the well-known and more valuable cryptocurrency Bitcoin. The reason for this is Mincoin and Dogecoin use the scrypt algorithm, which can still mine successfully on home PCs whereas Bitcoin requires custom ASIC chips to be profitable.

New targets
The initial version of Darlloz has nine combinations of user names and passwords for routers and set-top boxes. The latest version now has 13 of these login credential combinations, which also work for IP cameras, typically used for remote monitoring of premises.

Why IoT devices?
The Internet of Things is all about connected devices of all types. While many users may ensure that their computers are secure from attack, users may not realize that their IoT devices need to be protected too. Unlike regular computers, a lot of IoT devices ship with a default user name and password and many users may not have changed these. As a result, the use of default user names and passwords is one of the top attack vectors against IoT devices. Many of these devices also contain unpatched vulnerabilities users are unaware of.

While this particular threat focuses on computers, routers, set-top boxes and IP cameras, the worm could be updated to target other IoT devices in the future, such as home automation devices and wearable technology.

Blocking other attackers
As described in a previous blog, the worm prevents other attackers or worms, such as Linux.Aidra, from targeting devices already compromised with Linux.Darlloz. The malware author implemented this feature into the worm when it was released last November.

In early January, there were reports about a back door on a number of routers. By using the back door, remote attackers could gain access to the routers, allowing them to compromise the user’s network. For Darlloz’ author, this represented a threat, so they implemented a feature to block the access to the back door port by creating a new firewall rule on infected devices to ensure that no other attackers can get in through the same back door.

Infections in the wild
Once a device is infected, Darlloz starts a HTTP Web server on port 58455 in order to spread. The server hosts worm files and lets anyone download files through this port by using a HTTP GET request. We searched for IP addresses that open this port and host Darlloz files on static paths. Assuming that the Darlloz worm can be downloaded, we tried to collect OS finger prints of the host server. The following statistics give an overview of the infection.

  • There were 31,716 identified IP addresses that were infected with Darlloz.
  • Darlloz infections affected 139 regions.
  • There were 449 identified OS finger prints from infected IP addresses.
  • 43 percent of Darlloz infections compromised Intel based-computers or servers running on Linux.
  • 38 percent of Darlloz infections seem to have affected a variety of IoT devices, including routers, set-top boxes, IP cameras, and printers.

DarllozPie.png

Figure 1. The top five regions with Darlloz infections

The five regions that accounted for 50 percent of all Darlloz infections were China, the US, South Korea, Taiwan and India. The reason for the high infections in these regions is most likely due to their large volumes of Internet users or the penetration of IoT devices.

Infected IoT devices
Consumers may not realize that their IoT devices could be infected with malware. As a result, this worm managed to compromise 31,000 computers and IoT devices in four months and it is still spreading. We expect that the malware author will continue to update this worm with new features as the technology landscape changes over time. Symantec will continue to keep an eye on this threat.

Mitigation

  • Apply security patches for all software installed on computers or IoT devices
  • Update firmware on all devices
  • Change the password from default on all devices
  • Block the connection on port 23 or 80 from outside if not required

25,000 ??? Linux/UNIX ????????? Operation Windigo

      No Comments on 25,000 ??? Linux/UNIX ????????? Operation Windigo

「Operation Windigo」というコードネームの大規模かつ複雑な攻撃活動について報告したホワイトペーパーが、セキュリティ研究者によって公開されました。この攻撃が始まった 2011 年以来、25,000 台を超える Linux/UNIX サーバーが侵入を受けて、SSH(Secure Shell)資格情報を盗み出された結果、Web にアクセスしたユーザーが悪質なコンテンツにリダイレクトされ、スパム送信を送り付けられるようになりました。cPanel や Linux Foundation といった著名な組織も被害を受けていたことが確認されています。標的となるオペレーティングシステムは、OS X、OpenBSD、FreeBSD、Microsoft Windows、そして Linux の各種ディストリビューションです。発表されたホワイトペーパーによると、Windigo は毎日平均 3,500 万通のスパムメッセージを送信しています。このスパム活動のほかに、700 台以上の Web サーバーが現在、1 日当たりおよそ 50 万の訪問者を悪質なコンテンツにリダイレクトしています。

このホワイトペーパーでは、悪質なコンポーネントとして主に次の 3 つが挙げられています(名前は ESET 社の検出名)。

  • Linux/Ebury – サーバーを制御し資格情報を盗み出すために使われる OpenSSH バックドア
  • Linux/Cdorked – Web トラフィックのリダイレクトに使われる HTTP バックドア
  • Perl/Calfbot – スパムの送信に使われる Perl スクリプト

悪質な攻撃者による長期的な攻撃活動も、最近では一般的になってきました。適切なリソースを持ち、何らかの動機や欲求があれば、攻撃者は労力に見合った十分な見返りを得ることができます。特定の組織を狙って、重要な情報を選定して盗み出すことを目的とする攻撃もありますが、Operation Windigo の目的は、Web リダイレクト、スパム、ドライブバイダウンロードによる金銭的な利益です。
 

シマンテックの保護対策

シマンテック製品をお使いのお客様は、以下のシグネチャによって、Operation Windigo で使われているマルウェアから保護されています。

ウイルス対策

侵入防止システム

ESET 社によって確認された Operation Windigo の詳しい内容は、ESET 社のブログで公開されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

25,000 Linux and Unix Servers Compromised in Operation Windigo

      No Comments on 25,000 Linux and Unix Servers Compromised in Operation Windigo

Security researchers have released a paper documenting a large and complex operation, code named “Operation Windigo”. Since the campaign began in 2011, more than 25,000 Linux and Unix servers were compromised to steal Secure Shell (SSH) credentials, to redirect Web visitors to malicious content, and to send spam. Well-known organizations such as cPanel and Linux Foundation were confirmed victims. Targeted operating systems include OS X, OpenBSD, FreeBSD, Microsoft Windows, and various Linux distributions. The paper claims Windigo is responsible for sending an average of 35 million spam messages on a daily basis. This spam activity is in addition to more than 700 Web servers currently redirecting approximately 500,000 visitors per day to malicious content.

The paper lists three main malicious components (ESET detection names):

  • Linux/Ebury – an OpenSSH backdoor used to control servers and steal credentials
  • Linux/Cdorked – an HTTP backdoor used to redirect Web traffic
  • Perl/Calfbot – a Perl script used to send spam

Lengthy campaigns by malicious attackers have become commonplace. With the appropriate resources, motivation, and desire, attackers can obtain significant rewards for their efforts. While some campaigns focus on targeting specific organizations to identify and exfiltrate sensitive information, the goal here was financial gain, by way of Web redirects, spam, and drive-by-downloads.
 

Symantec protection

Symantec customers are protected against malware used in Operation Windigo with the following signatures:

AV

IPS

More details on ESET’s discovery of Operation Windigo is available on their blog.

?????????????????? Google Docs ????

      No Comments on ?????????????????? Google Docs ????

毎日、膨大な数のフィッシングメールが飛び交っていますが、最近 Google Docs や Google ドライブを使うユーザーを標的とした詐欺メールは、その巧妙さが際立っていました。

この詐欺メールでは「Documents」という至ってシンプルな件名が使われており、そこに記載されているリンクをクリックして Google Docs にある重要な文書を確認するように促します。

リンク先が Google Docs でないことは言うまでもありません。確かに Google のサイトには移動しますが、そこで実際に表示されるのは Google Docs のログインページに偽装したページです。

phish_site_image.png

図.Google Docs に偽装したフィッシング用ログインページ

偽のページは、実際に Google のサーバー上でホストされており、SSL を介して提供されているため、さらに本物らしく見えます。詐欺師は単に、Google ドライブアカウントの中にフォルダを作成し、公開設定をしてファイルをアップロードしているにすぎません。そのうえで、Google ドライブのプレビュー機能を使って共有アクセス可能な URL を取得し、それをメッセージに掲載しているのです。

このログインページは、Google の各種サービスで共通して使われているので、多くの Google ユーザーにとって見慣れたものでしょう(「One account. All of Google.(アカウント 1 つですべての Google サービスを。)」の下のテキストには、今アクセスしているサービスが示されますが、ほんのわずかの違いなので、ほとんどの人は気付きません)。

Google Docs のリンクにアクセスしたときに、このようなログインページが表示されるのはごく当たり前なので、深く考えずにログイン情報を入力してしまう人は多いかもしれません。

[Sign in]をクリックすると、ユーザーのログイン情報が、危殆化した Web サーバー上の PHP スクリプトに送信されます。

このページから今度は本当の Google Docs 文書にリダイレクトされるので、攻撃の全体がかなりの説得力を持っています。Google アカウントはフィッシング詐欺師にとって価値のある標的です。Gmail や Google Play など多くのサービスへのアクセスに使われるため、これを利用すれば Android アプリやコンテンツも購入できるからです。

シマンテック製品をお使いのお客様はこの脅威から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Google Docs Users Targeted by Sophisticated Phishing Scam

      No Comments on Google Docs Users Targeted by Sophisticated Phishing Scam

We see millions of phishing messages every day, but recently, one stood out: a sophisticated scam targeting Google Docs and Google Drive users.

The scam uses a simple subject of “Documents” and urges the recipient to view an important document on Google Docs by clicking on the included link.

Of course, the link doesn’t go to Google Docs, but it does go to Google, where a very convincing fake Google Docs login page is shown:

phish_site_image.png

Figure. Google Docs phishing login page

The fake page is actually hosted on Google’s servers and is served over SSL, making the page even more convincing. The scammers have simply created a folder inside a Google Drive account, marked it as public, uploaded a file there, and then used Google Drive’s preview feature to get a publicly-accessible URL to include in their messages.

This login page will look familiar to many Google users, as it’s used across Google’s services. (The text below “One account. All of Google.” mentions what service is being accessed, but this is a subtlety that many will not notice.)

It’s quite common to be prompted with a login page like this when accessing a Google Docs link, and many people may enter their credentials without a second thought.

After pressing “Sign in”, the user’s credentials are sent to a PHP script on a compromised web server.

This page then redirects to a real Google Docs document, making the whole attack very convincing. Google accounts are a valuable target for phishers, as they can be used to access many services including Gmail and Google Play, which can be used to purchase Android applications and content.

Symantec customers are protected against this threat.