悪名高き組織の2人の主要ハッカーのうちの1人シリア電子軍「Th3 Pr0」としてのみ知られる彼は、木曜の夜に Twitter を閲覧していて、気に入らないものを見つけました。
CNNでした話に最近の報告バシャール・アル・アサド政権が数千人の拘束者に対する「組織的な拷問と殺害」の罪を犯していると主張した。記事を読んだ後、Th3 Pr0 はシリア時間午後 10 時 26 分 (東部標準時午後 3 時 26 分) にシリア電子軍の別の著名なメンバーにチャット メッセージを送信しました。
関連項目:
「CNNをハッキングして真実を広めよう」とTh3 Pr0は仲間のハッカー「ザ・シャドウ」に語ったという。
そのとき、シリア電子軍は手術CNNをハッキングし始めた。 3時間少々後のシリア時間午前1時48分、2人のハッカーは1150万人以上のフォロワーを誇るCNNの公式ツイッターアカウントから最初の偽ツイートを送信した。
クレジット: シリア電子軍、The Pr0
これにすぐにさらに偽のツイートが続き、その一部は他の CNN ツイッター アカウントから投稿されました。@NatlSecurityCNN、@CNNSitRoomそして@CNNPolitics。同様にCNNの公式Facebookページ。 2人はCNNブログ、Security Clearance、Political Tickerに偽の記事を投稿することにも成功した。
Th3 Pr0 と The Shadow は、素早いハッキングにより、次のような主要ブランドを含む長いリストに被害者を 1 人追加しました。AP通信、マイクロソフトそしてさらにタマネギ。
ハッカーはどのようにしてこれほど多くの CNN ソーシャル メディア アカウントを制御したのでしょうか?彼らは主に、CNN 従業員に対する巧妙に作成されたフィッシングメールの波という、彼らの代表的な武器に依存していました。マッシャブルが調べたところによると、そのうち6匹が餌を食べたという。しかし、別の展開がありました。Th3 Pr0 と The Shadow が主張するマルウェアの一種により、被害者のコンピュータへの完全なアクセスが可能になったと主張しています。
襲撃事件に詳しい関係者によると、「非常に芝居がかった、よく仕組まれた出来事だった」という。同氏によると、電子メールはすべて適切な英語で書かれており、正規のものと思われるリンクが含まれており、本物の CNN の電子メール アドレスから送信されているように見えました。
あるメールでは、受信者にメールの内容を更新するよう求められていました。ターナー放送システムパスワードを変更するよう求める人もいれば、Office 365 (CNN の内部電子メール システム) のパスワードを更新するよう求める人もいます。悪意のあるリンクにより、受信者は偽のバージョンのこの Office 365 ログイン ページ、ハッカーが従業員の資格情報を盗むために特別に設計したものです。
Th3 Pr0 と The Shadow は、ハッキングの前に、偽のメッセージを送信できる CNN 従業員の電子メールのリストをすでに持っていたと前者は述べています。
被害者の中には実際にはソーシャルメディアアカウントにアクセスできなかった人もいたが、ハッカーは彼らの電子メールアドレスを他の潜在的な被害者への餌として利用することを狙って彼らを標的にした可能性が高い。結局のところ、リンクが同僚からのものであれば、リンクをクリックする可能性が高くなります。
「通常、彼らには2つのターゲットがあります。1つはピボット、送信、ブロードキャストに使用するターゲット、もう1つは彼らの動機が何であれ追求するために所有するつもりのターゲットです」と別の情報筋はMashableに語った。
ある CNN 従業員はフィッシングメールの第一波に陥り、偽のログイン ページでパスワードを明らかにしてしまいました。その後、Th3 Pr0 と The Shadow は、彼の Hootsuite アカウントにアクセスできました。このアカウントは、さまざまな CNN ソーシャル メディア アカウントや、CNN Wordpress アカウントにさえリンクされていました。この画期的な進歩により、彼らは複数の Twitter アカウントに投稿したり、CNN.com でフェイク ニュースを公開したりすることができるようになりました。 Mashableは侵害されたアカウントのスクリーンショットを確認しており、攻撃に詳しい情報筋はそれらが正規のものであることを認めた。
CNN 職員 6 人のパスワードを掌握した後、ハッカーはフィッシングメールの第 2 波を送信し始めました。今回は被害者の実際のメール アカウントを使用しました。電子メールは攻撃について警告し、さらなるハッキングを避けるために受信者にパスワードを変更するよう求めていた。これは、より多くのログインとパスワードを収集しようとする賢明な試みでした。
Th3 Pr0 と The Shadow は、偽のログイン ページにリモート アクセス ツールに似たマルウェアを埋め込み、被害者のコンピュータを制御できるようにしました。実際、ハッカーたちは依然として 6 人の CNN 従業員全員のコンピュータにアクセスしていると Th3 Pr0 氏は述べています。
情報筋がMashableに語ったところによると、CNNはマルウェアの証拠をいくつか発見し、フィッシングメール内の1つの悪意のあるリンクが実行可能ファイルのダウンロードを促したが、マルウェアが実際に何をしたのか、ハッカーが実際にまだコンピュータにアクセスできるのかは不明だという。 Th3 Pr0 は決定的な証拠を提供できませんでしたが、調査時に知った欠陥を悪用したと述べました。ハッキングされた複数の Microsoft 従業員の電子メール アカウントに送信されます。
Th3 Pr0 は、Office 365 の脆弱性を悪用して被害者のコンピュータにマルウェアを感染させたと付け加えました。しかし、Mashable が相談した何人かのセキュリティ専門家によれば、このシナリオは可能性はあるものの、現実離れしているように思えます。
アカマイ・テクノロジーズのセキュリティ擁護者、デイブ・ルイス氏は「決して決して言わないでください」と語った。
いずれにせよ、研究者らは、SEAによるCNNへの攻撃は非常に効果的であり、従業員が不審な電子メールを検出し、最初に再確認せずにリンクをクリックしないようにし、資格情報を決して放棄しないことを学ぶまで、同様のハッキングが続くだろうと述べている。
「人々はセキュリティ環境の中心であり、ソフトで歯ごたえのある中心です」とルイス氏はMashableに語った。
「悪意のある電子メールを認識するユーザー ベースを育成することで人間的要素を強化することは、SEA がこれほど成功を収めてきた種類の攻撃に対する重要な防御策です」と、企業にその方法についての研修を行っている PhishMe の副社長、スコット グロー氏は述べています。フィッシング攻撃に騙されないように。
ハッカーの正体は誰も知りませんが、今回は痕跡を残しているようです。
Th3 Pr0 と The Shadow が CNN のソーシャル メディア アカウントを制御していたとき、彼らはトルコの IP アドレスに遡って Facebook のパスワード リセット リクエストを作成しました。さらに、CNNのアカウントの1つに電話番号が追加されたと情報筋がMashableに語った。この番号はシリアテルに登録されており、攻撃者らはシリアにいることが示唆されると情報筋は述べた。
しかし、Th3 Pr0 氏は、彼と The Shadow は攻撃を実行するときに仮想プライベート ネットワークを使用して位置を隠すため、IP には何の意味もないと述べました。 Th3 Pr0もまた、シリアに住んでいると述べたが、CNNアカウントにシリアの電話番号を追加したことを否定した。
CNN はこの情報漏えいに関する調査を継続中です。