弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

#HackingTeam と #Luxembourg のサーバーを細工したBGPルーティングで日本に隠す。 update4

ハッキングチームの仮想サーバ(VPS)や中継サーバは、細工したBGPルーティングで日本に隠してある。ぐげ。やっぱり日本の国策なのか。

KDDI 106.186.0.0/18ですな。

2015年07月12日20時33分04秒 @viclaroche les Exploit Networks are FOUND
2015年07月12日20時31分57秒 #hackteam Russian infection servers https://t.co/g9rgAdl1r8 with domainnames https://t.co/ZDWi3iVU7c http://t.co/mV8deWAhR5
2015年07月12日20時21分47秒 #hackingteam http://t.co/9djtP0qpg1 is linked to this US ISP already seen - making rounds https://t.co/PCOEZSHI3U http://t.co/P87K7nqqaR
2015年07月12日20時17分46秒 #hackingteam @GoDaddy is pointing to http://t.co/9djtP0qpg1 which is owned by a guy in Israel https://t.co/9OyoOagnse http://t.co/ydkfDwSS3r
2015年07月12日20時12分51秒 #hackingteam @GoDaddy hosting an exploit delivery Network at http://t.co/v6dvy5wrJj (sic) https://t.co/NOXgd9Qph2 http://t.co/CdwVBafM3y
2015年07月12日20時09分19秒 #hackingteam even had honeypots on linode .... honeypots on shared architecture ? https://t.co/Kg6TLOSnR7 WOW http://t.co/PtwmTHCbFl
2015年07月12日20時02分26秒 #hackingteam and another VPS in the US https://t.co/1OrKFLMY4v http://t.co/h5nwpXnzZw
2015年07月12日19時59分26秒 #hackingteam in argentine worked with areatec http://t.co/4OzyS0Z6Y7
2015年07月12日19時55分21秒 #hackingteam these are more traffic ports - look for them http://t.co/zOSadDg9Sn
2015年07月12日19時53分31秒 #hackingteam traffic ports RCS http://t.co/zYZsWkbCM0
2015年07月12日19時47分21秒 #hackteam here is another VPS in the US https://t.co/4SnEg4qP4y http://t.co/M5qd0kFZTb
2015年07月12日19時43分49秒 #hackteam also have a look at the selection by http://t.co/WGOnFj8QsL still one of the best secrecy or anti-secrecy sites @Cryptomeorg
2015年07月12日19時38分16秒 #hackingteam tested @TinyURL and found it SAFE FOR EXPLOITS http://t.co/9ou3YSHC6H
2015年07月12日19時35分36秒 #hackteam this is probably a vps or relay but with the same bad BGP routing to hide in JAPAN https://t.co/JjyuH9yyV3 http://t.co/AJtGckwnQa
2015年07月12日19時32分47秒 #hackteam and this is an infectserver on Leaseweb https://t.co/v42CB3IaUG http://t.co/YbAxEHDdy7
2015年07月12日19時30分27秒 @ira_bailey still don't like it and never will whatever the arguments
2015年07月12日19時29分28秒 #hackingteam also used http://t.co/59YPO0QyMf https://t.co/9kAGSvbFCH http://t.co/P7fi4b3O22
2015年07月12日19時25分24秒 #hackingteam they use this address in Ukraine https://t.co/sQrG9JvPUa http://t.co/dceBJW89wi
2015年07月12日19時22分51秒 #hackingteam was using worldwide hostingeurope.de VPS privacycommission ? http://t.co/tEn8frExrS
2015年07月12日19時20分10秒 #hackingteam https://t.co/9QPF9cRC4n VPScheap

@mailforlenの3208ツイ r rr

Hacking Team supported Italian Special Operations Group with BGP Routing Hijack
「ハッキングチームがイタリア特殊部隊をBGPルーティングハイジャックで支援。」
How Hacking Team Helped Italian Special Operations Group with BGP Routing Hijack
「ハッキングチームはどのようにBGPルーティングハイジャックを使ってイタリア特殊部隊を助けたか。」

ROS(Special Operations Group/イタリア軍特殊部隊)
RAT(Remote Access Tool/遠隔操作ツール)

2013年7月3日にSantrex IPv4プレフィクス46.166.163.0/24が到達不可になった。 ハッキングチームとROSのVPS「Anonymizer」が46.166.163.175で稼働していた。 Anonymizerは裏のCollectorに中継する仕掛け。

RCSクライアントからのデータをRCSサーバが受信できるように、 HTはROSにSantrexにVPSをオンラインするように提案したが上手く行かなかった。

BGPアナウンスでプレフィクス46.166.163.0/24を到達可能にするものだった。 別のASが到達可能にしていた為、Santrex (AS57668)はプレフィクスのアナウンスができなかったのだ。

ROSはAS31034 (aka Aruba S.p.A)で新しいAnonymizerを46.166.163.175で稼働させるように働きかけた。ROSは他のイタリアのISPがハイジャックされたアナウンスをフィルターしないようにしていた。

そして歴史的なBGPデータが確認される。 2013年8月16日07:32UTC AS31034(Aruba S.p.A)がプレフィクス46.166.163.0/24をアナウンス。 Fastwebからのみアクセスでき、Telecom Italiaからはまだアクセスできなかった。 プレフィクスはグローバルに見えてなかったので、 すべてのRCSクライアントがサーバーに到達することはできなかった。 その後で以下の「偽の」RCSサーバをBGPアナウンス。
AS12874 Fastweb
AS6939 Huricane electric
AS49605 Reteivo.IT
AS4589 Easynet
AS5396 MC-link Spa

何なの?これ?調べても何も出てこない偽のサーバを立てて、そのサーバへの経路に本物のサーバを立てるのか。やるなー。 国家ぐるみでBGPハイジャックを許可してる。

ぶっへー。そんなことできるんだ。これってアクセスしてるサーバーとの通信経路で何でも細工可能ってことだよな。IPアドレスが不要って言ってたのはそういう意味だったのか。

DNSスプーフィングとかARPスプーフィングなんてもう昔話。自分のサーバを経由するようにルーティングを自在に変更してトラフィックに細工するんだわ。なんてまわりくどい。

AS31034 (Aruba S.p.A)のようなASN登録してる通信会社や学校のような団体がどうやってBGPルーティングに細工するのか説明してある。

AS番号 【 Autonomous System number 】 ASN
AS番号とは、インターネットなどの大規模IPネットワーク内にある、各組織が保有・運用する自立したネットワーク(AS)を識別する番号。各国のNICによって管理・発行される番号で、日本ではJPNICが管理・発行を行っている。

AS番号は全世界で一意の番号である。2オクテット(16ビット)で表され、0~65535までの番号空間を持つ。このうち0と65535はICANNによって予約されており、64512~65534はプライベートAS番号とされている。プライベートAS番号は全世界で一意ではなく、ASの内部やインターネットに接続されていないネットワークでのみ使用できるAS番号である。

AS番号は、BGP(Border Gateway Protocol)を用いて他のASとの間で経路制御情報を交換できるASに対してのみ割り当てられる。新たなASがひとつの既存のASにのみ接続する場合などは、経路制御情報を交換する必要がなく、新たなASが既存のASに編入されれば済むため、AS番号は割り当てられない。

AS番号が割り当てられるASは、ISPの保有するネットワークであることが多いが、他にも大学組織などの学術系ネットワークやデータセンターである場合もある。

AS(Autonomous System)は学校かもと、JPNIC、あー、慶応大学かぁ。
ソニー映画(SPE)が日本のアドレスを経由してハックされーた
もろ、これですな。

今は落ちてる?

ハッキングチームは知ってるけど luxembourg(ルクセンボーグ)て何よ?別の会社?

For Their Eyes Only: The Commercialization of Digital Spying(2013年4月30日)
Internet’s new biggest threat? How web traffic can be secretly redirected(2013年12月5日)

Dyn Research (@DynResearch) w
弁財天サーバはbenzaiten.dyndns.orgでDynのDNSを使ってますけど何か?

The New Threat: Targeted Internet Traffic Misdirection(2013年11月19日)
どうりで、ハイジャックされたルーティングにNTT(.ntt.net)が関与してるわけですな。 BGPルーティングの細工こそが土人の武器だったんだ。

129.250.3.180 230.887 ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY)
129.250.4.69 232.959 ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY)
129.250.8.158 248.685 ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY)
じゃぁ、.ntt.netとはどこの会社か?whois飛ばしてみた。
$ whois ntt.net
[Querying whois.verisign-grs.com]
[Redirected to whois.melbourneit.com]
[Querying whois.melbourneit.com]
[whois.melbourneit.com]
Domain Name: ntt.net
Registry Domain ID: 1462745_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.melbourneit.com
Registrar URL: http://www.melbourneit.com.au
Updated Date: 2015-07-08T21:01:21Z
Creation Date: 1995-08-21T04:00:00Z
Registrar Registration Expiration Date: 2016-08-20T14:00:00Z
Registrar: Melbourne IT Ltd
Registrar IANA ID: 13
Registrar Abuse Contact Email: abuse@melbourneit.com.au
Registrar Abuse Contact Phone: +61.386242300
Domain Status: ok
Registry Registrant ID: 
Registrant Name: NTT Communications Corporation
Registrant Organization: 
Registrant Street: NTT Hibiya Bldg. 7F, 1-1-6 Uchisaiwai-cho
Registrant City: Chiyoda-ku
Registrant State/Province: Tokyo-to
Registrant Postal Code: 100-8019
Registrant Country: JP
Registrant Phone: +99.99999999
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: domain-admin@ntt.net
Registry Admin ID: 
Admin Name: Domain Administrator
Admin Organization: 
Admin Street: NTT Hibiya Bldg. 7F, 1-1-6 Uchisaiwai-cho
Admin City: Chiyoda-ku
Admin State/Province: Tokyo-to
Admin Postal Code: 100-8019
Admin Country: JP
Admin Phone: +81.367009107
Admin Phone Ext: 
Admin Fax: 
Admin Fax Ext: 
Admin Email: domain-admin@ntt.net
Registry Tech ID: 
Tech Name: Domain Administrator
Tech Organization: 
Tech Street: NTT Hibiya Bldg. 7F, 1-1-6 Uchisaiwai-cho
Tech City: Chiyoda-ku
Tech State/Province: Tokyo-to
Tech Postal Code: 100-8019
Tech Country: JP
Tech Phone: +81.367009107
Tech Phone Ext: 
Tech Fax: 
Tech Fax Ext: 
Tech Email: domain-admin@ntt.net
Name Server: AUTH21.NS.GIN.NTT.NET
Name Server: AUTH22.NS.GIN.NTT.NET
Name Server: AUTH23.NS.GIN.NTT.NET
Name Server: AUTH24.NS.GIN.NTT.NET
Name Server: AUTH25.NS.GIN.NTT.NET
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdrprs.internic.net
>>> Last update of WHOIS database: 2015-08-27T06:31:19Z

TERMS OF USE OF MELBOURNE IT WHOIS DATABASE
The WHOIS database is operated by Melbourne IT Ltd ('we', 'our' or 'us'). Your access to, and use of, our WHOIS database and the information made available on our WHOIS database is subject to these Terms of Use and our Privacy Policy. All information contained in our WHOIS database is provided 'as is'. We take no responsibility for any error or omission in our WHOIS database. The data in our WHOIS database is provided to you for your information only. You may use the information in our WHOIS database only for the purpose of obtaining information about or related to a domain name registration record ('Permitted Purpose'). You agree not to use high-volume, automated electronic processes to access or query our WHOIS database. By submitting a WHOIS query to us, you agree that you will only use the data obtained from a WHOIS query for the Permitted Purpose and for lawful purposes, and that you will not: (a) allow, enable, or otherwise support the transmission of mass, unsolicited, commercial advertising or solicitations by e-mail, telephone, or facsimile; or (b) enable high volume, automated, electronic processes that send queries or data to the systems of any Registry Operator or ICANN-Accredited registrar, except as reasonably necessary to register domain names or modify existing domain name registrations. You also agree that the copying, reproduction, translation, compilation, re-packaging, dissemination or other use of the data in our WHOIS database is prohibited without our prior written consent. We reserve the right to terminate your access to our WHOIS database at any time, and for any reason, including (without limitation) if you fail to comply with any provision of these Terms of Use, or we consider that you are excessively querying our WHOIS database. These Terms of Use may be modified by us at any time without notice by our amending the Terms of Use on this web page. You agree that your use of our WHOIS database following any modification to these Terms of Use will constitute your acceptance of these Terms of Use (as modified from time to time).
NTTコミュニケーションですな。

土人の武器はDNSスプーフィング。 それができるのはKDDIとNTTがルーティングに細工できるから。 スパイウェアや偽のサーバを経由するようにルーティングに細工してしまえば、それこそ確実に感染させることができるわけですな。

寝屋川の中学生のスマホだろうが、カミソンのスマホだろうが自在にGALILEOに感染させてLINEの遠隔操作ができたわけですな。

FinSpyの感染プロキシ(Infection Proxy)の仕掛けはわかったのだけど、どうやってそのプロキシを経由するように設定するのかわからなかったのだけど、ふつうにルーティング設定してたわけですな。

3月12日に英核兵器データがウクライナを経由してたとか。

なるほど。ネットのルーティングをウクライナ経由に変更して、英米間でWebサイトをふつうに閲覧するとウクライナで盗聴されるという。情報リークの新手法だな、こりゃ。

'Innocent mistake': UK’s nuclear weapons web data routed through Ukraine
うわー、鳩山由紀夫のクリミア訪問(2015年3月12日)とルーティングの改ざんはやっぱりセットだったんだ。

2015年3月12日鳩山前総理がクリミアを訪問。
2015年3月12日米→英のトラフィックがウクライナを経由。

日本はクリミアで英米の通信をウクライナでも傍受できることをルーティングを改ざんしてデモしてたんだわ。 ぶへー、じゃぁウクライナ紛争に発展したマイダンクーデターもGALILEOか? 島国の土人も困ったもんですなー。既に戦争起こしてるわ。 こういう事実をぶっちぎって新安保法をGALILEO国会議員劇団が審議してるんでしょーな。

投稿されたコメント:

コメント
コメントは無効になっています。