システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
平昌冬季オリンピックで暴れた「Olympic Destroyer」の正体
March 16, 2018 08:30
by 『Security Affairs』
平昌五輪では開会式の直前にあたる2月9日(金曜日)、メインプレスセンター、同五輪スタジアムのWi-Fi、そして公式ウェブサイトがテイクダウンされた。
Hackers used the so-called Olympic Destroyer, a strain of malware that allowed the attackers to wipe files and make systems inoperable.
攻撃者たちは「Olympic Destroyer」と呼ばれるマルウェアを利用した。これを使って攻撃者たちはファイルを削除し、システムを実行不可能にすることができた。
セキュリティの専門家たちは、そのマルウェアがNSAのエクスプロイト「EternalRomance」を利用してSMBプロトコルを介し拡散する、ということを発見している。
専門家たちは当初、その攻撃が北朝鮮によるものだと判断していたが、のちに情報将校たちは、それをロシアによるサイバー攻撃だと判断した。
Ciscoのセキュリティリサーチチームである「Talos」によれば、彼らが「Olympic Destroyer」と称している今回の平昌への攻撃と、以前に行われたBadRabbitやNotPetyaなどの攻撃には多くの類似点があるという。これらの攻撃は、いずれも機材の破壊活動や、機材に混乱を引き起こす活動に注力している。こっそりデータを抜き出すための攻撃や、その他の「より分かりづらい攻撃」ではない。その攻撃者たちは、PsExecやWMIなどの正規のツールを利用して「pyeongchang2018.com」のドメインを特定的に標的としている。ネットワークを横断し、犠牲者たちのコンピュータのデータをワイプして利用不可能にするため、ブラウザーやシステムのクレデンシャル情報を盗もうと試みる。
「この攻撃の明確な目的は、崩壊を引き起こすことだ。それにより我々は『開催のセレモニーでオリンピック委員会に恥をかかせることが、この攻撃者たちの狙いである』と確信した」と、Talosの公開した分析記事にそう書かれている。
カスペルスキーの専門家たちは、韓国の複数のスキーリゾートで、そのマルウェアの複数のサンプルを発見した。
その専門家たちは、北朝鮮にリンクされているAPTグループLazarusに関連した独自の「フィンガープリント」を発見したのだが、彼らが収集した別の証拠は、そこに重要な食い違いがあることを暴いた。つまり、それは「偽旗作戦」を示唆している。
「その次に発見したことは、我々に大きな衝撃をもたらした。自作の『マルウェア類似性システム』を使った我々は、Olympic DestroyerをLazarusに結びつける独自のパターンを発見した。Rich headerの名で知られる実行ファイルに格納された特定のコード開発環境の特徴の組み合わせは、そのマルウェアの作者と彼らのプロジェクトを特定するフィンガープリントとして利用されるケースもある。Kaspersky Labが分析した『Olympic Destroyer』のサンプルの場合、その『フィンガープリント』は既知のLazarusのマルウェアコンポーネントと100%一致しており、現在までにKaspersky Labが認識してきたあらゆるファイル(クリーンなファイル、悪意あるファイル)とは少しもオーバーラップしていなかった」と、Kasperskyが発表した分析には記されている。
またKasperskyは、ロシアにリンクしているAPTグループSofacy(Pawn Storm、 Fancy Bear、APT28、Sednit、Tsar Team、Strontiumの名でも知られている)とその悪性コードの関連を示唆するような証拠も発見している。
「我々は、攻撃者たちがNordVPNとMonoVMホスティングを利用していることを確認してきた。いずれのサービスもビットコインで購入できるため、それはAPTの攻撃者たちにとって完璧なツールだ。このTTP、および他のいくつかのTTPは過去にAPTグループSofacy(広く知られているロシア語の攻撃者)によって利用されてきた」とカスペルスキーは続けて述べている。
「ロシアのAPTグループが、Lazarusをはめようとした」ということは、あり得るだろうか? おそらくは。
他に考えられるものとしては、Lazarusが今回のオリンピック攻撃で偽旗作戦を利用している、というシナリオもある。
「このシナリオには、『攻撃者の動機』に関する未解決の疑問がいくつかある。今回の攻撃の影響を受けたネットワークの管理者アカウントを攻撃者たちが持っていることは、すでにわかっている。彼らはバックアップを削除し、すべてのローカルデータを破壊すれば、オリンピックのインフラストラクチャを簡単に壊滅することもできただろう。しかし彼らは、それよりも少し『軽め』の混乱を招くことを選んだ。つまりWindowsの共有ファイルを削除し、イベントログをリセットし、バックアップを削除してWindowsのサービスを実行不可能にし、起動ができない状態でシステムを再起動させた」とカスペルスキーは結論づけている。
「他の攻撃者に利用されているTTP、マルウェア、意図的な偽旗の利用、比較的良質なOpSecなどとの複数の類似点を加味して考えると、それだけの(それらのそれぞれのシナリオの)目的について、ますます多くの疑問が沸き上がるばかりだ」
今回のケースは、APT攻撃のアトリビューションの難しさを示すものだ。
より詳細な情報は、カスペルスキーのレポートで読むことができる。
翻訳:編集部
原文:Olympic Destroyer, alleged artifacts and false flag make attribution impossible
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
ニュースのポイント(THE ZERO/ONE編集部より)
サイバーセキュリティの攻撃元として、特定の「国名」や「組織名」がでてきたら、注意が必要だ。THE ZERO/ONEでも何度も指摘しているが、サイバーセキュリティの世界では、国や組織を「偽る」ことが簡単にできてしまうからだ。
他国・他の組織になりすまして行動する「偽旗作戦」は、ネット上では手軽にでき、その効果も大きい。
平昌冬季オリンピックを狙ったOlympic Destroyerも、当初は「北朝鮮の犯行説」と報道された。けれども、この記事にもあるように、現在はロシアの犯行説が多数指摘されている。ロシアが本当に犯人なのかどうかは、断定できない。しかし、北朝鮮が罪をなすりつけられた可能性は高い。続報を知らないと、まだOlympic Destroyerは北朝鮮の犯行だと考えている人もいるだろう。
サイバーセキュリティの世界で特定の国、組織が「犯人」として出てくるときは、用心が必要だ。
『Security Affairs』
イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュースサイト。
http://securityaffairs.co/wordpress/
Twitter @securityaffairs
Security Affairs on Facebook
Security Affairs on Google+
Security Affairs on Pinterest
Must Popular
-
1
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
2
政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる
February 16, 2018
3
公衆無線LANを悪用した暗号通貨マイニング術
January 19, 2018
4
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(前編)
February 1, 2018
5
多くの生体認証は手軽に突破可能!? 百度のハッカーが語る「生体認証の破り方」
March 6, 2018
-
6
スマートフォンの指紋認証をセロハンテープでハッキング
February 5, 2018
7
海底情報戦争──海底ケーブルに対するロシアの脅威の危険性
December 28, 2017
8
「教科書アダルトリンク事件」の犯人が逮捕される
February 13, 2018
9
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)
February 8, 2018
10
ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍
January 15, 2018
