本日、一般に「The Dukes」と呼ばれるAPT攻撃集団に関して、当社は新たなホワイトペーパーを公開する。The Dukesは十分な資金力を持ち、高度に特化し、組織だったサイバー諜報集団だ。遅くとも2008年以降、外交および安全保障の政策決定を支援する機密情報を収集する目的で、ロシア政府に雇われた集団であると我々は考えている。
The Dukes(APT29と呼ばれることもある)は、MiniDuke、CosmicDuke、OnionDuke、CozyDuke、SeaDuke、CloudDuke(別名MiniDionis)、HammerDuke(別名HAMMERTOSS [PDF])など、マルウェアツールセットの武器庫として幅広いものを用いていることで知られている。
The Dukesの数々のツールセットについて、我々や他の人物が大掛かりな技術研究を行ったにも関わらず、いまだに物語の極めて重要な部分に我々は到達していないように感じていた。同時に、この物語がどのようなものだったのか想像を巡らせてきた他の者たちもいたが、彼らは「気付いておらず、理解もしていないものに対して、防衛を指揮することは難しい(Patrik Maldre、2015年)」という結論に達した。
これを心に留めて、我々は最近、The Dukesについての過去の研究をすべて遡り、見落としている可能性があるヒントや話の筋道、あるい当時は理解していなかった重要性について探す旅に出た。この過程において、かつて確認されていなかった2つのDukeマルウェアツールセット、PinchDukeおよびGeminiDukeの存在を指し示すヒントを発見することができた。
以前、双方のツールセット由来のマルウェアを分析した当時は、我々は前後関係を理解していなかった。この2つのツールセットのような新たなヒントの発見によって、かつてはThe Dukesに帰属すると判明しなかったケースを見つけるために、我々の古いマルウェアの山をくまなく捜すことに進んだ。点と点を線で結ぶという例えのごとくの過程を経たおかげで、徐々にThe Dukesについてより大局的に、また、より的確に絵を描くことができた。さらに7年を超える活動の詳細について新たなものを発見した。
ホワイトペーパー [PDF] はこちらで提供している。おもしろい詳細すべて(とサンプルのハッシュ)を掲載している。