システムに侵入って聞くと、ランサムウェアとか情報漏洩とか対象システムを管理している企業を脅迫するようなものが多い。
この事例は、侵入したシステムを活用して別の金稼ぎに使用したような事例。
何か最近サイバー攻撃に関連して脅迫じゃなくて別のことに活用してそうな例が目に付くようになったような気がする。フェリーに侵入した例とかATM取引を操作した例とか。
サイバー攻撃界隈、例えばランサムウェア攻撃者では年々身代金を支払う被害者が減っているようなので、Chainalysisの公開情報では収益3割減みたいなことも言われている。
サイバー攻撃被害事例が減っていない、むしろ増えているような分野がありつつも身代金を支払わないという意識はどんどん広まっているようだ。
なので今後より一層、脅迫じゃなくて別のことに活用される事例が増えていくのではないかなぁと。
港湾システムならOT系とかも合わさっていそうだし高度なサイバー攻撃ってことか?
って思ったが、上に貼った裁判記録を見るとそういう感じじゃなかった。
高度なサイバー攻撃って雰囲気は無くて、元々裏の業界でシステム系に関わる犯罪に関わるときに出てくる人っていう印象を持った。別にお金に困った高度な犯罪者って感じじゃないのが、裁判記録に証拠として記載されているメッセージアプリ履歴から見えてくる。
そもそも、この裁判に繋がったのは以前話題になった暗号化メッセージアプリ「Sky ECC」運営の摘発で出てきた記録らしい。
裁判記録にかなり具体的なメッセージ履歴が沢山あるので、凄い解像度高い
メッセージ履歴を見ると麻薬を輸入したい何者かが居て、被告はアイデア提案と実際のシステム侵害を手伝った感じ。
最初の方のメッセージには侵入にはUSBが早いと提案していて。おそらく、内部の協力者(麻薬取引組織から頼まれている者?)に実行させたと思われる。
その後、ドメイン管理者のハッシュ?を手に入れたようで、AWSのお高いサーバでハッシュ解析している旨のやり取りがある。
NTLMハッシュならPTHできるからKerberoastingのハッシュか?やっぱりハッシュ解析のいい機械を揃えるのはメンドイし費用対効果微妙だったりするのでAWSとかクラウドでやるのも良く聞く。今だったら、それらよりもcrack.shで頼んだり、vast.aiでやるのが良いんじゃないか。
その後、結局10桁まで試して解析できなかったようなのでUSBタイプのキーロガーの設置を提案している。悪者たちが使うハードウェアキーロガーってどんなもの何だろうって思ったら、KeelogのAirDriveっていう製品らしい。製品一覧ページを見ると、USBが多いがシリアル通信キャプチャ用、マザーボードに組み込みそうなパーツ、キーボード丸々のタイプ、複数USB機器の同時キャプチャ機器、スクリーンキャプチャ機器とかある。Hak5とかよりも本格的で、これが本物かって感じ。
キーロガーを設置してもらった後はADのDCに侵入できたようで、そうして港湾の記録を書き換えたり、ゲートを操作してトラックを通していたりしていたぽい。
当初個人的に期待していたのはOT系のハッキング手法が記載されていることだったが
期待とは違うが、物理的な犯罪と不正アクセスを組み合わせている者たちのメッセージのやり取りをまじまじと確認できたのは面白かった。
でも、OT系の具体的に高度な攻撃手法の報告をもっとみたいです。
