ハッカーたちは、スマートフォンを持っている誰でも簡単にウェブサイトに対して大量の SQL インジェクション攻撃を命令できるツールを宣伝している。
我々の知る限り、犯罪者のKatyusha Scanner Proのインスタンスを月額200ドルでレンタルするか、500ドルで自分のシステムにインストールするかのどちらかです。このソフトウェアは、無料で利用できる侵入テストツールであるAnarchi Scannerを使用して、ウェブサイトに対してSQLi攻撃を実行します。重要なのは、Telegramインスタントメッセージングシステムから制御できることです。
つまり、基本的には、レンタルサーバーまたは自分で設置したインターネット接続サーバー上でKatyushaを実行し、Telegramを使ってコマンド(例えば、somepoorbastard.bizへの攻撃、mydietpillsnotascam.orgへの攻撃など)を連続して実行し、脆弱なサイトを攻撃します。プロ版をお持ちの場合は、ログイン認証情報と内部データベースの内容を自動的に抽出できます。発見されたバグを自分で悪用できると思われる場合は、簡易版のスキャナーも利用可能です。
これはつまり、技術に詳しくない犯罪者でも、スマートフォンから簡単に無数の組織や企業への攻撃を仕掛けられることを意味します。ウェブポータルから操作できる点も特筆すべき点ですが、Telegramでテキストメッセージで命令できるというのは、かなり大胆な発想です。脅威情報企業Recorded Futureのセキュリティ研究者は、ダークウェブで最も限定的で隠れたハッカーフォーラムの一つで、このパッケージが販売されているのを発見しました。
「ハッキングのプロセスは標準的なウェブインターフェースを使って制御できるが、カチューシャ・スキャナーの独自の機能により、犯罪者は関心のあるウェブサイトのリストをアップロードし、複数のターゲットに対して同時に同時攻撃を開始し、Telegramメッセンジャーを介して操作をシームレスに制御することができる」とRecorded Futureはブログ投稿で説明している。
この技術はスクリプトキディから絶賛され、プロフェッショナルなカスタマーサポート体制も高く評価されています。もちろん、熟練したサイバー犯罪者であれば、スマートフォンやタブレットのSSHターミナルからこれらすべてを実行することも可能です。Katyushaがそれほど簡単に使えるという事実こそが、やや懸念材料と言えるでしょう。
要求に応じた攻撃…Telegramメッセージでカチューシャを操作している人物のスクリーンショット(クリックして拡大)
スキャンが完了すると、Katyusha は特定されたターゲットごとに Alexa Web 評価を表示し、発見された Web セキュリティ脆弱性の潜在的な重要性と収益性に関する便利なガイドを提供します。
「カチューシャ・スキャナーのような非常に堅牢かつ安価なツールが、技術的スキルが限られているオンライン犯罪者に利用可能になることで、さまざまな企業が経験しているデータ侵害の問題がさらに深刻化するだけであり、定期的なインフラストラクチャ・セキュリティ監査の重要性が浮き彫りになる」とRecorded Futureは結論付けている。
情報セキュリティ企業Positive Technologiesの調査によると、2017年第1四半期に最も蔓延した攻撃はSQLiとクロスサイトスクリプティングで、それぞれ検出された攻撃総数の約3分の1を占めています。この報告書では、ハッカーの最大の標的として政府機関のウェブアプリケーションが挙げられており、次いでIT企業と金融機関、そして教育機関が4位となっています。®
ブートノート
カチューシャという名前は、第二次世界大戦中にソ連によって開発され、その隠密かつ壊滅的な攻撃でナチス軍にパニックをもたらしたことで知られる象徴的な多連装ロケット砲を指しています。
