謎のエージェントがイランのハッカーの個人情報を漏洩、コードを流出させる

シャドウ・ブローカーズと呼ばれる謎の集団がNSAのハッカーたちを徹底的に攻撃し、ハッキングツールをオープンウェブ上に流出させてからほぼ3年が経ち、イランのハッカーたちもその不穏な経験を味わうことになりそうだ。先月、謎の人物もしくはグループがイランのトップハッカーチームを標的にし、彼らの秘密データ、ツール、さらには個人情報までもTelegramの公開チャンネルに流出させており、流出は止まる気配を見せていない。

3月25日以降、「Read My Lips」または「Lab Dookhtegan」（ペルシア語で「縫い付けられた唇」を意味する）というTelegramチャンネルが、APT34またはOilRigとして知られるハッカー集団の機密情報を組織的に漏洩している。研究者たちは長年、この集団がイラン政府のために活動していると考えている。これまでに、情報漏洩者（あるいは複数のリーク元）は、ハッカー集団のツール集、世界66の被害組織への侵入ポイントの証拠、イラン情報機関が使用するサーバーのIPアドレス、さらにはOilRigグループと活動していたとされるハッカー集団の身元や写真まで公開している。

「我々は、冷酷なイラン情報省がイランの近隣諸国に対して使用してきたサイバーツール（APT34 / OILRIG）をここに暴露します。これには、残忍な管理者の氏名、そしてこれらのサイバー攻撃の活動と目的に関する情報が含まれます」と、ハッカーたちが3月下旬にTelegramに投稿した元のメッセージには記されていた。「他のイラン国民も、この政権の真の醜い顔を暴露するために行動してくれることを願っています！」

漏洩作戦の正確な性質や、その背後にいる人物や組織は全く明らかではない。しかし、この漏洩はイランのハッカーたちを困惑させ、彼らのツールを公開することで検知を逃れるために新たなツールを開発させ、さらにはAPT34/OilRigのメンバー個人のセキュリティと安全を脅かすことを意図しているようだ。「不満を抱えた内部関係者がAPT34の攻撃者からツールを漏洩しているか、あるいはこのグループの活動を妨害することに関心を持つShadow Brokersのような組織によるものだろう」と、今回の漏洩を分析しているセキュリティ企業Chronicleの応用情報責任者、ブランドン・レヴィーンは述べている。「彼らは彼らに対して何らかの意図を持っているようだ。ツールを公開するだけでなく、名前を公表して非難しているのだ」

木曜日の朝現在、Read My Lipsのリーク犯たちは、OilRigのメンバーとされる人物の名前、写真、さらには連絡先までTelegramに投稿し続けているが、WIREDは特定された人物のうち誰かが実際にこのイランのハッカーグループと関係があるかどうかを確認できていない。「今後、我々は数日ごとに、呪われた職員の個人情報と、悪徳諜報省の機密情報を公開し、この裏切り者の省庁を壊滅させる」と、リーク犯たちが木曜日に投稿したメッセージには記されていた。

Chronicleのアナリストは、少なくとも公開されたハッキングツールは、リーク元の主張通り、実際にはOilRigのハッキングツールであることを確認しました。例えば、HypershellやTwoFaceといったプログラムは、ハッカーがハッキングしたウェブサーバーに足掛かりを作るために設計されています。また、PoisonFrogとGlimpseと呼ばれるツールは、Palo Alto Networksの研究者が昨年8月からOilRigが使用しているのを観察している、リモートアクセス型トロイの木馬「BondUpdater」の異なるバージョンであるようです。

Read My Lips の漏洩者は、これらのツールの漏洩に加え、イランの諜報機関のサーバーの内容も消去したと主張し、以下に示すような、残したというメッセージのスクリーンショットも投稿しました。

2016年から2017年にかけて、シャドウ・ブローカーズがNSAの秘密ハッキングツールのコレクションを流出させた際、結果は悲惨なものでした。例えば、流出したNSAのハッキングツール「EternalBlue」と「EternalRomance」は、WannaCryワームやNotPetyaワームなど、歴史上最も破壊的で甚大な被害をもたらしたサイバー攻撃のいくつかに使用されました。しかし、クロニクルのレヴィン氏によると、流出したOilRigツールはそれほど独自性も危険性も低く、特に流出したWebシェルツールには、容易に再利用できる要素が欠けているとのこと。「単なるカットアンドペーストではありません」とレヴィン氏は言います。「これらのツールが再兵器化される可能性は低いでしょう。」

漏洩情報に含まれるもう一つのツールは「DNSpionage」マルウェアと呼ばれ、「中間者攻撃による認証情報の抽出に使用されるコード」および「DNSハイジャックを管理するコード」と説明されています。DNSpionageの名称と説明は、セキュリティ企業が昨年末に発見し、その後イランによるものとされた攻撃と一致しています。この攻撃は中東全域の数十の組織を標的とし、DNSレジストリを改変することで、すべてのインターネットトラフィックを別のサーバーにリダイレクトすることで、ハッカーが密かに傍受し、そこに含まれるユーザー名とパスワードを盗み出すというものでした。

しかし、クロニクルのレヴィーン氏によると、リークされたDNSpionageマルウェアは、見た目では一致しないものの、クロニクルは以前特定された攻撃で使用されたマルウェアとは一致しないと考えている。しかし、2つのDNSハイジャックツールは類似した機能を備えているように見え、2つのハッキング攻撃には少なくとも共通の被害者がいくつか存在した。Read My Lipsのリークには、アブダビの空港からエティハド航空、バーレーン国家安全保障局、サウジアラビアの保険会社ソリダリティ・サウジ・タカフル・カンパニーまで、中東の幅広いネットワークでOilRigが仕掛けたサーバー侵害の詳細が含まれている。クロニクルが漏洩した被害者データを分析したところ、OilRigの標的は韓国のゲーム会社からメキシコの政府機関まで多岐にわたる。しかし、ハッカーの数十人の被害者のほとんどは中東に集中しており、中にはDNSpionageの攻撃を受けた者もいるとレヴィーン氏は述べている。「DNSpionageとの関連性は見られませんが、被害者の重複はあります」と彼は述べている。「たとえ同じでなかったとしても、少なくとも彼らの利益は相互的だ。」

OilRigにとって、今回の漏洩は恥ずべき挫折であり、運用上のセキュリティ侵害を意味する。しかし、セキュリティ研究コミュニティにとっては、国家が支援するハッキンググループの内部を垣間見る貴重な機会でもあると、レヴィン氏は言う。「国家が支援するグループとその活動内容を垣間見る機会は滅多にありません」と彼は言う。「この情報漏洩によって、このグループの能力の範囲と規模がある程度分かるのです。」

Read My Lipsのリーカーがイランの秘密を暴露しているにもかかわらず、その情報源は依然として謎に包まれている。Telegramでの主張から判断すると、これはまだ始まったばかりだ。「イラン情報省とその幹部による犯罪に関するさらなる秘密情報を入手しました」と、先週このグループが投稿したメッセージには記されている。「私たちは引き続き情報を暴露していく決意です。フォローして、シェアしてください！」

WIREDのその他の素晴らしい記事