2016年に民主党全国委員会(DNC)が不正アクセスを受けた際、悪名高き「ファンシー・ベア」として知られるロシアのハッカー集団が、米国大統領選挙の結果を左右しようと大胆な作戦を展開し、入手した電子メールや文書を流出させ、注目を集めました。しかし、クレムリン傘下の、はるかに静かなハッカー集団もDNCのネットワークに潜入していました。それから3年間、この第二の集団はほぼ活動を停止していましたが、セキュリティ研究者が別のスパイ活動の最中に彼らを発見しました。この活動は6年間もの間、誰にも気づかれずに続けられていました。
スロバキアのサイバーセキュリティ企業ESETの研究者らは本日、クレムリンが支援するハッカー集団による長年にわたるスパイ活動を明らかにする新たな調査結果を発表した。ESETは、この集団を「デュークス」と呼んでいる。この集団はコージーベアやAPT29といった別名でも知られ、ロシア対外情報局(SVR)との関連が指摘されている。ESETは、デュークスが少なくとも3つの標的のネットワークに侵入していたことを突き止めた。侵入先は東欧2カ国の外務省とEU加盟国1カ国のもので、ワシントンD.C.にあるそのEU加盟国大使館のネットワークも含まれていた。ESETは、これらの被害者の身元に関する詳細な情報提供を拒否し、今回発見された以外にも多くの標的が存在する可能性があると指摘している。
研究者たちは、スパイ活動が民主党全国委員会へのハッキング事件の数年前からその後も、そしてつい最近の今年6月まで続いており、全く新しいマルウェアツール群が使用されていたことを発見した。その中には、検出を回避するための斬新な手口を駆使したものもあった。「彼らは武器庫を再構築したのです」と、今週初めにスロバキアのブラティスラバで開催されたESETの研究会議で新たな研究結果を発表したESETの研究員マチュー・ファウ氏は述べている。「彼らはスパイ活動を止めませんでした。」
ゴーストハンター
デュークスは、2016年6月に民主党全国委員会内で目撃されて以来、完全に姿を消したわけではない。同年後半と2017年には、同グループから送られたとみられるフィッシングメールが、米国のシンクタンクやNGO、そしてノルウェー政府とオランダ政府に届いた。これらの調査が侵入に成功したかどうかは不明である。また、約1年前には、セキュリティ企業FireEyeが、再び大規模なフィッシング攻撃の波がデュークスによるものだと発表している。しかし、ESETは、これらのメールは公開されているマルウェアのみを配信していたため、同グループとの明確な関連性を証明することは困難だと指摘している。
対照的に、ESETが「ゴーストハント」と名付けた新たに明らかになった一連の侵入攻撃は、標的ネットワーク内に少なくとも3つの新たなスパイツールを埋め込むことに成功しました。また、以前から知られていた「MiniDuke」と呼ばれるバックドアも利用しており、Dukesが最近姿を消したにもかかわらず、ESETはこれを利用して、より広範なスパイ活動とDukesを結び付けることに成功しました。「彼らは活動を停止し、私たちは多くの情報を持っていませんでした」とファウ氏は言います。「しかし、この1年半の間に、当初は関連がなかったマルウェアファミリーをいくつか分析しました。そして数ヶ月前、それがDukesによるものだと判明しました。」
実際、MiniDuke を含む侵入の 1 つは、マルウェアが公に特定される前の 2013 年に始まっており、これは、別のソースからマルウェアを入手した誰かではなく、Dukes が侵入を実行したことを強く示唆しています。
トリックショット
Dukesの新しいツールは、巧妙なトリックを用いて、自身と通信を被害者のネットワーク内に隠蔽します。そのツールには、そのサイズから「FatDuke」と呼ばれるバックドアが含まれます。このマルウェアは、検出を回避するために設計された約12MBの難読化コードにより、13MBという異例のサイズを占有します。コマンド&コントロールサーバーとの通信を隠蔽するため、FatDukeはユーザーのブラウザを偽装し、被害者のシステムで検出されたブラウザのユーザーエージェントまでも模倣します。
新しいツールには、ESETがPolyglotDukeとRegDukeと名付けた、より軽量な埋め込み型マルウェアも含まれています。どちらも、標的のシステムに他のソフトウェアをインストールできる第一段階のプログラムとして機能します。どちらのツールも、痕跡を隠すための独特な手段を備えています。PolyglotDukeは、Twitter、Reddit、Imgurなどのソーシャルメディアにおける管理者の投稿から、コマンド&コントロールサーバーのドメインを取得します。そして、これらの投稿は、マルウェアの名前の由来となっている3種類の文字、つまり日本語のカタカナ、チェロキー文字、または漢字の構成要素である康熙部首のいずれかでドメインをエンコードできます。
Dukesのマルウェアがコマンド&コントロールサーバーの位置特定に使用したTwitterなどのソーシャルメディアへの投稿の一例。ここではドメインがチェロキー文字でエンコードされています。
ESET提供DukesのRegDukeインプラントは、別の難読化手法を用いて、標的のコンピュータのメモリにファイルレスのバックドアを埋め込みます。このバックドアは、コマンド&コントロールとして使用されるDropboxアカウントと通信し、ステガノグラフィ技術を用いてメッセージを隠蔽します。この技術は、以下に示すような画像のピクセルを目に見えない形で改変し、秘密情報を埋め込むものです。
Dukes のマルウェアが秘密の通信を隠すために改変して送信した画像の 2 つの例。
ESET提供ESETのファウ氏は、こうしたステルス対策のおかげで、このグループが長年にわたる侵入活動において検知されずに済んだと説明する。「彼らは特にネットワーク通信において、非常に慎重でした」
デュークス一家は、侵入を隠蔽してきた一方で、身元を隠すことに常に成功してきたわけではない。オランダの新聞フォルクスラントは昨年初め、オランダ諜報機関AIVDが、2014年にハッカーたちが使用していたモスクワの大学の建物のコンピューターや監視カメラにまで侵入したことを暴露した。その結果、オランダのスパイたちは、ハッカーたちの侵入を肩越しに監視し、彼らが作業していた部屋に出入りする全員を特定することさえできた。この作戦により、オランダの諜報機関はデュークス一家がロシアの諜報機関SVRの工作員であることを決定的に特定し、DNCハッキングに先立ち、侵入開始からわずか24時間後に米国政府に警告を発することができた。
しかし、ESETの調査結果は、デュークスのような集団が一時的に注目を集め、あるいは監視カメラに捉えられたとしても、何年もの間、スパイ活動の一部を秘密裏に維持できることを示しています。言い換えれば、ハッカー集団が一時的に世間の注目を集めた後に姿を消したように見えても、それが依然として影の中で静かに活動していることを意味するわけではないのです。
WIREDのその他の素晴らしい記事
- WIRED25: 私たちを救うために奮闘する人々の物語
- 巨大なAI搭載ロボットがロケット全体を3Dプリント
- リッパー― とんでもなくひどいビデオゲームの裏話
- USB-Cがついに登場
- ハードウェアに小さなスパイチップを埋め込むコストはわずか200ドル
- 👁 ディープフェイク動画の時代に向けて準備しましょう。さらに、AIに関する最新ニュースもチェックしましょう。
- 🏃🏽♀️ 健康になるための最高のツールをお探しですか?ギアチームが選んだ最高のフィットネストラッカー、ランニングギア(シューズとソックスを含む)、最高のヘッドフォンをご覧ください。
