本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「2016年米国選挙で攻撃に関与していた疑いのスパイグループDukesが暗躍し攻撃が再び」を再編集したものです。
Dukes(別名APT29、Cozy Bear)は、民主党全国委員会の2016年米国選挙における準備の攻撃に関与していた疑いで脚光を浴びていました。それ以来、2018年の11月に一度だけ、米国にある複数の組織にフィッシング攻撃を仕掛けたと言われる時を除いて、確信を持ってDukesのものと断定できる活動はありませんでした。そのため、このグループは活動を停止したものと思われていました。
しかし、ここ数ヶ月でESETがDukesに関連したPolyglotDuke、RegDuke、FatDukeという3つの新しい一連のマルウェアを見つけたことで、それが事実ではないということが判明しました。これらの新しいマルウェアはごく最近まで使われており、最近確認された検体は2019年1月に展開されたものです。つまり、Dukesは2016年から積極的に活動しており、新しいマルウェアを開発しつつ価値の高い標的を攻撃していたということです。この新しく発見されたDukesの活動を、ESETは総称してOperation Ghostと名付けました。
変遷と被害分析
Operation Ghostは2013年に始まったと思われ、この記事の執筆時点でも未だ活動を続けています。ESETの調査で、ヨーロッパの少なくとも3カ国の外務省がこの攻撃に影響を受けていると示されています。ESETはさらに、ワシントンDCのEU加盟国の大使館でもDukesによる侵入を発見しています。
この攻撃の中で初めて明らかになった痕跡は、2014年1月のRedditの投稿です。図1は攻撃者による投稿です。見慣れない文字を使った奇妙な文字列は、PolyglotDukeが使う、エンコードされたC&CサーバーのURLです。
図1 Redditに投稿された、エンコードされたC&
図2では、Operation Ghostの変遷を示しています。これはESETのテレメトリに基づくため、この一連の動き全体からすると、ほんの一部である可能性もあります。一方で、この攻撃に使われる手法は以前に記録されたものと多くの共通点を持っています。たとえば以下の使用です。
・Twitter(ほか、Redditなどのソーシャルメディア)によってC&CのURLをホストしている
・ペイロードやC&Cとの通信を画像に隠している
・常駐化のためにWMIを使用している
攻撃の標的にも以下のような重要な共通点があることを発見しています。
・現在までに判明している標的は全て外務省である。
・判明している3つの標的にされた組織のうち2つは以前に、CozyDuke、OnionDuke、MiniDukeなど他のDukesのマルウェア攻撃を受けている。・PolyglotDukeやMiniDukeに攻撃を受けた端末では、CozyDukeが数ヶ月前にインストールされている。
しかしこの推測はあくまで既知のDukesツールが同じ端末上にあることを元にしているので、その点は少し割り引いて考えた方がいいかもしれません。ESETは他にも、2つのAPT攻撃(TurlaとSednit)を同じコンピューター上に見つけています。
一方で、すでに確認している検体とOperation Ghostの検体の間で、コードが非常に似通っていることも発見しています。偽旗作戦である恐れ否定はできませんが、この一連の動きはDukesの手法がまだそれほど知られていなかった時期から始まっています。2013年には、PolyglotDukeが初めてコンパイルされたであろう日までに発見されていたのはMiniDukeのみで、分析者はこの脅威の重要性には気づいていませんでした。このことからも、Operation Ghostは他のキャンペーンと同時並行で、現在まで検出されることなく秘密裏に実行されていたようです。
PolyglotDuke(SHA-1: D09C4E7B641F8CB7CC86190FD9A778C6955FEA28)は独自の暗号化アルゴリズムを使用してマルウェアが使う文字列を解読します。2014年にF-Secureが確認したOnionDukeの検体(SHA-1: A75995F94854DEA8799650A2F4A97980B71199D2)で、ESETは機能が一致するコードを見つけています。興味深いのは、srand関数をシードするために使われた値が、実行ファイルをコンパイルした時のタイムスタンプだったということです。たとえば0x5289f207という値は2013年11月18日月曜日10:55:03 UTCに対応しています。
2019-11-27 22:35:17