近年、ガザ地区とヨルダン川西岸地区におけるハッキング活動は、パレスチナの対立政党間の争い、イスラエル・パレスチナ紛争の継続、そしてパレスチナのハッカーが国際舞台で存在感を増す中で、活発化しています。Facebookは今回、2019年と2020年にパレスチナから発生した2つのデジタルスパイ活動を発見しました。これらの活動は、iOSを標的とした独自のスパイウェアを含む、様々なデバイスやプラットフォームを悪用していました。
一見無関係に見えるこれらのグループは、目的が食い違っていたようだ。しかし、両グループともFacebookなどのソーシャルメディアプラットフォームを拠点として標的と接触し、ソーシャルエンジニアリング攻撃を仕掛けてフィッシングページなどの悪質なウェブサイトへ誘導していた。
研究者たちは、攻撃者グループの一つを、ヨルダン川西岸の与党ファタハ傘下の諜報機関であるパレスチナ予防保安局と関連付けています。この攻撃において、同局は主にパレスチナ自治区とシリアを標的とし、トルコ、イラク、レバノン、リビアでも活動していました。ハッカーたちは主に人権活動家や反ファタハ活動家、ジャーナリスト、そしてイラク軍やシリア反体制派などの組織を攻撃することに重点を置いていたようです。
もう1つのグループは、ハマスと関係があるとされる長年活動するArid Viperで、パレスチナ国内のファタハ党員、政府関係者、治安部隊、学生などを標的としていました。Arid Viperは、フィッシング攻撃を開始したり、iOSおよびAndroidマルウェアをホストしたり、そのマルウェアのコマンド&コントロールサーバーとして機能する数百のウェブサイトを含む、広範な攻撃基盤を構築しました。
「これらの活動を阻止するため、アカウントを削除し、マルウェアハッシュを公開し、活動に関連するドメインをブロックしました。また、これらのグループの標的となったと思われる人々に警告を発し、アカウントの安全確保を支援しました」と、Facebookのサイバースパイ活動調査責任者マイク・ドビリャンスキー氏と脅威阻止責任者デビッド・アグラノビッチ氏は水曜日のブログ投稿で述べた。「ウイルス対策コミュニティを含む業界パートナーと情報を共有し、彼らもこの活動を検知・阻止できるようにしました。」
Facebook提供
予防保安局と関係のあるこのグループはソーシャルメディアで活発に活動し、偽アカウントや盗用アカウントを用いてペルソナを作成し、多くの場合若い女性を装っていた。アカウントの中には、ハマス、ファタハ、その他の軍事組織を支持すると主張するものもあり、活動家や記者を装って標的との関係を構築し、マルウェアをダウンロードさせる狙いもあった。
このグループは、市販のマルウェアと、安全なチャットアプリを装った独自のAndroidスパイウェアの両方を用いて被害者を狙っていました。このチャットアプリは、通話履歴、位置情報、連絡先情報、SMSメッセージ、デバイスのメタデータを収集していました。また、キーロガーが組み込まれていることもありました。攻撃者は、公開されているAndroidおよびWindowsマルウェアも使用していました。さらに、研究者たちは、攻撃者が記事を投稿したいジャーナリストを標的としたWindows用の偽のコンテンツ管理プラットフォームを作成した証拠を確認しました。このアプリは実際には機能せず、Windowsマルウェアがバンドルされていました。
Arid Viperも同様に、AndroidおよびWindowsを標的としたマルウェアに加え、ソーシャルエンジニアリングやフィッシングといった戦術をキャンペーンで利用していました。しかし、このグループは「Phenakite」と呼ばれるカスタムiOSマルウェアも開発し、被害者に対して徹底的な監視を開始しました。攻撃者は被害者を誘導し、Phenakiteを配布するサードパーティのアプリストアなどのサイトにアクセスさせ、モバイル構成プロファイル(企業などの組織がすべてのデバイスを標準化・管理できるようにするAppleの仕組み)を承認・インストールさせます。そこから被害者は「Magic Smile」というiOSチャットアプリをインストールしますが、このアプリにはPhenakiteが隠されています。インストール後、マルウェアは公開されている脱獄ツールを用いてデバイスをリモートで脱獄し、システムへのアクセス権限を昇格させます。
研究者らは、Phenakiteの展開は非常に標的を絞っており、被害者はせいぜい数十人程度だったと推測しています。このサービスがMagic Smileを繰り返し削除すると、グループは自身のウェブサイトでアプリをホストし、そこに被害者を誘い込もうとしました。研究者らは、Arid ViperがPhenakiteを開発した理由は、標的の多くがiPhoneを使用しているためではないかと指摘しています。
Phenakiteは、誰かを騙してインストールさせるのが最も簡単なマルウェアではないかもしれませんが、その開発は、近年、米国、中国、ロシアといった主要なハッキング大国以外でも実験や革新が活発化しているという、より広範な傾向を反映しています。また、標的型iOS攻撃がますます一般的になるにつれ、攻撃者が何かを公開して、それを最大限に活用する(つまり、最悪のものを作る)ことのリスクはますます低くなっています。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- 少年、彼の脳、そして数十年にわたる医学論争
- 次のアウトドアアドベンチャーに向けて重ね着する方法
- ファルコンズ、ロキ、オタクの規範、そしてなぜ気にする必要がないのか
- ラリー・ブリリアントはパンデミックの終息を早める計画を立てている
- Facebookの「レッドチームX」は社壁の外でバグを狩る
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- 🎧 音に違和感を感じたら、ワイヤレスヘッドホン、サウンドバー、Bluetoothスピーカーのおすすめをチェック!
