ロシアのサイバー犯罪グループAPT28の手口が巧妙化

　過去8年間にわたり政治家、政府機関、企業などを標的にしてきた、ロシア語を使うハッカーグループが、手口を巧妙化させていることがセキュリティ研究者の分析で分かった。

　セキュリティ企業Bitdefenderのレポートには、「Sofacyの活動に対する調査により、同グループは極めて活動的であり、活動を特定の地域に集中させていることが明らかになった」とある。このレポートによれば、同グループの主な標的は、ウクライナ、スペイン、ロシア、ルーマニア、米国、カナダに集中している。

2016年に予想されるサイバーセキュリティ問題トップ10

　このSofacyと呼ばれるグループ（ほかにもAPT28、Strontium、Fancy Bear、Sednitなど、さまざまな名前を持つ）は、特にウクライナに関心を持っており、例えば同国東部にあるドンバス地域での停戦などの政治的な出来事に合わせて攻撃が行われている。

　またルーマニアの場合には、政府のインフラやそれに密接に関連するコンピュータが攻撃されている。

　Bitdefenderによれば、疑いを持たれたり侵入検知システムに妨害されたりしないよう、同グループは慎重に標的を選んでいる。レポートには、「APT28のオペレーターが標的を選ぶ際に用いている条件はまだ不明だが、調査によって、事前に準備された脆弱性を持つIPアドレスのリストから選ばれていることが明らかになった」と記述されている。

　分析によれば、同グループはロシアかその周辺のロシア語を話す国に拠点を置いている。収集されたファイルの90％は、中央ロシア、グルジア、アゼルバイジャンの就業日の勤務時間帯に作成されているという。

　Bitdefenderの研究者は、「この種の攻撃に必要なスキルと資源を所有する国はロシアだけだ」と述べている。

　同社が収集したデータは、攻撃手法として、細工された「Word」または「Excel」の文書を添付したスピアフィッシングメール、タイポスクワッティング、およびJavaとFlashのゼロデイ脆弱性を悪用するiFrameの3つが使用されていることを示している。

　Bitdefenderは、同グループはこの1年で使用しているツールをさらに改善し、より高度な手口を用いるようになったと述べている。今では、コンピュータを感染させるのに、複数のバックドアを使用し、2つ以上のツールを用いている。

　12月初めに発表されたKaspersky Labのレポートには、同グループは2015年に、新しいバージョンのUSBを使った情報入手手段を用いて、物理的に隔離されたコンピュータからも情報をコピーできるようになったと書かれている。

　11月に公表されたMicrosoftのレポートによれば、同グループは新しく発見されたゼロデイ脆弱性を利用している。「Strontiumは別のケースで、ベンダーが脆弱性を修正するセキュリティアップデートをリリースして数日以内に、その脆弱性を悪用する攻撃手法を用いている。これは、公表された直後に全員がセキュリティアップデートをインストールするわけではないことを利用したものだ」という。