Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

イスラエル軍兵士が引っかかったハニートラップを回避する方法

つぶやいてみた。 海外事件

ニートラップは軍隊(男性兵士)にかけるのが最も有効なのかも知れません。イスラエル軍の兵士がハマスのハニートラップに引っかかっていた件が報じられていました。 

forbesjapan.com

 

イスラエル軍の兵士数百人が、パレスチナイスラム原理主義組織ハマスによってスマートフォンマルウェアを仕込まれたことが明らかになった。ハマスは、魅力的な女性を装った“ハニートラップ”で兵士たちとメッセージアプリでチャットをし、出会系アプリに見せかけた悪質アプリをダウンロードさせたという。
このマルウェアは、重要な端末情報を盗み取るほか、カメラやマイク、アドレス帳、メッセージなどへのリモートアクセスを可能にするという。
(中略)
イスラエル国防軍によると、ハマスイスラエル兵たちにフェイスブックやインスタグラム、ワッツアップ、テレグラムなどを介して接触し、マルウェアを仕込んだ3つの異なるデートアプリをインストールするよう促したという。今回の攻撃による安全保障上のダメージはないというが、情報漏洩の被害は甚大だ。
(Forbes記事より引用)

 

イスラエル軍(IDF)の公式発表

 ・これらはハマスのキャラクターとアプリです ※英語

 

Check Pointの事件分析記事

 ・IDF兵士のハマスAndroidマルウェア-これがどのように起こったか  (2/16)※英語

 

 

キタきつねの所感

ソーシャルエンジニアリングの攻撃手法と言っても良いかと思います。10代の女性を装ったハマスのメンバーが実際に若い女性だったかは分かりませんが、数百人のイスラエル軍兵士(兵士や将校を含む)がトラップにひっかかった様です。※HackRead記事 

 

 

イスラエル軍(IDF)の兵士に対するこうした攻撃は2017年1月にも発生していた(ZDnet記事)とありますが、2017年はこうした魅力的な女性に騙されて、ビデオチャットアプリ(※マルウェアがインストールされる)をダウンロードさせ、数百人が引っかかった様ですが、残念ながら騙された兵士の数から考えると、前回事件は大きな教訓にはなっていなかった様です。

 

今回の攻撃では、マルウェアが仕込まれた偽データアプリ(「GrixyApp」「ZatuApp」「Catch&See」)をインストールさせる様に電話で促してきたという事で(※女性の工作員が関与した)、より攻撃が深化しています。

 

攻撃の手口ですが、まず、イスラエル若くて魅力的な女性を装うダミーアカウントが、Instargram、Facebook、WhatsApp、Telegramに作られた様です。実際に使われた写真が以下の6つです。

(画像引用:Israel Defense Forces/IDF)

 

ターゲットのイスラエル軍の兵士とSNS上でチャットした上で、より親密な写真を共有するために、兵士に以下の3つのアプリ(の内1つ)をダウンロードする様に依頼します。

 

ダウンロードを依頼された偽ソフト(デートアプリ)も、一見それっぽいページが用意されていて、兵士の警戒心を刺激しない様になっていた様です。

 

 

(画像引用:Israel Defense Forces/IDF)

 

イスラエルのサイバーセキュリティ会社Check Pointによると、マルウェアをインストールするために悪意のあるリンクをクリックすると、「デバイスはサポートされていません。アプリはアンインストールされます」というエラーメッセージを表示する様になっていました。

マルウェアアプリ

(画像引用:Check Point

しかしこれは、アイコンが隠された状態でマルウェアが動作する事への、偽装手法だったと考えられます。

 

これらのアプリケーションが、インストールされると、MQTTプロトコルを介してリモートコマンドアンドコントロールサーバーとの通信を開始し、C2コマンドにより機能が拡張され、攻撃者がマルウェアをダウンロードしたり、ファイルやプログラムを実行したり、写真を撮ったり、連絡先のリストやその他のデータを盗んだりできるようになります。

 

今回の攻撃では、イスラエル軍全体セキュリティを脅かすまでの被害は出てない様ですが、2次攻撃(標的型攻撃やAPT攻撃)に使われる可能性もある、将校を含む数百人の兵士の電話番号(IMSI)、GPS(位置)情報、保存データ(写真や連絡先、カレンダー、ブラウザー履歴)、SMSメッセージが漏えいした可能性があります。

 

 

この手のハニートラップの回避方法

世の男性が基本的な脆弱性を持つ所を責められており、日本の自衛隊もこの手の攻撃・・・若干不安があります。回避方法を考えてみると、

(隊員を全て女性にすればリスクが低くなりそうな気もしますが、イケメンかマッチョ男性写真による攻撃に代わるだけでしょうし・・)

 

ハマス(と思われる)ハッカーの攻撃はAndroid端末を攻撃対象としていますので、iPhoneアプリだと成立しなかった可能性が高いかと思います。

・写真(一部音声)だけで「若くて魅力的な女性」が実在するかを信じてしまう部分に脆弱点を感じます。ビジネスメール(ボイス)詐欺と同様な攻撃と考えると、「女性」に対して、日付が映っている写真を要求する、あるいは動画チャットを要求す事で、仮に女性が実在しない場合には判別が可能な気がします。

・紹介のあったダウンロードリンクをすぐに押さずに、Google Playでの確認や、ググるだけで「偽アプリ」である事を冷静に判断できる確率が上がります。

・そもそも、何故Instargram、Facebook、WhatsApp、Telegramのやり取りで不十分なのか?新しいソフトを入れる理由が無い(あるいはもっと著名ソフトで十分である)事に気づく必要があるかと思います。兵士に必須能力と言っても良い、”冷静さ”をもっと磨く必要があるのかも知れません。

  

尚、攻撃者は中東を中心に様々な業界に攻撃しているAPT-C-23が関与している可能性があると、Check Pointは推定しています。

Interactive Mapping of APT-C-23 - Check Point Research

VAMP | トレンドマイクロ セキュリティブログ

 

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

ハチミツとクマとミツバチのイラスト 

 

更新履歴

  • 2020年2月23日 AM(予約投稿)