平昌冬季オリンピックで暴れた「Olympic Destroyer」の正体

『Security Affairs』

March 16, 2018 08:30
by 『Security Affairs』

平昌五輪では開会式の直前にあたる2月9日(金曜日)、メインプレスセンター、同五輪スタジアムのWi-Fi、そして公式ウェブサイトがテイクダウンされた

攻撃者たちは「Olympic Destroyer」と呼ばれるマルウェアを利用した。これを使って攻撃者たちはファイルを削除し、システムを実行不可能にすることができた。

セキュリティの専門家たちは、そのマルウェアがNSAのエクスプロイト「EternalRomance」を利用してSMBプロトコルを介し拡散する、ということを発見している。

専門家たちは当初、その攻撃が北朝鮮によるものだと判断していたが、のちに情報将校たちは、それをロシアによるサイバー攻撃だと判断した。

Ciscoのセキュリティリサーチチームである「Talos」によれば、彼らが「Olympic Destroyer」と称している今回の平昌への攻撃と、以前に行われたBadRabbitNotPetyaなどの攻撃には多くの類似点があるという。これらの攻撃は、いずれも機材の破壊活動や、機材に混乱を引き起こす活動に注力している。こっそりデータを抜き出すための攻撃や、その他の「より分かりづらい攻撃」ではない。その攻撃者たちは、PsExecやWMIなどの正規のツールを利用して「pyeongchang2018.com」のドメインを特定的に標的としている。ネットワークを横断し、犠牲者たちのコンピュータのデータをワイプして利用不可能にするため、ブラウザーやシステムのクレデンシャル情報を盗もうと試みる。

「この攻撃の明確な目的は、崩壊を引き起こすことだ。それにより我々は『開催のセレモニーでオリンピック委員会に恥をかかせることが、この攻撃者たちの狙いである』と確信した」と、Talosの公開した分析記事にそう書かれている。

カスペルスキーの専門家たちは、韓国の複数のスキーリゾートで、そのマルウェアの複数のサンプルを発見した。

その専門家たちは、北朝鮮にリンクされているAPTグループLazarusに関連した独自の「フィンガープリント」を発見したのだが、彼らが収集した別の証拠は、そこに重要な食い違いがあることを暴いた。つまり、それは「偽旗作戦」を示唆している。

「その次に発見したことは、我々に大きな衝撃をもたらした。自作の『マルウェア類似性システム』を使った我々は、Olympic DestroyerをLazarusに結びつける独自のパターンを発見した。Rich headerの名で知られる実行ファイルに格納された特定のコード開発環境の特徴の組み合わせは、そのマルウェアの作者と彼らのプロジェクトを特定するフィンガープリントとして利用されるケースもある。Kaspersky Labが分析した『Olympic Destroyer』のサンプルの場合、その『フィンガープリント』は既知のLazarusのマルウェアコンポーネントと100%一致しており、現在までにKaspersky Labが認識してきたあらゆるファイル(クリーンなファイル、悪意あるファイル)とは少しもオーバーラップしていなかった」と、Kasperskyが発表した分析には記されている。

またKasperskyは、ロシアにリンクしているAPTグループSofacyPawn StormFancy BearAPT28SednitTsar TeamStrontiumの名でも知られている)とその悪性コードの関連を示唆するような証拠も発見している。

「我々は、攻撃者たちがNordVPNとMonoVMホスティングを利用していることを確認してきた。いずれのサービスもビットコインで購入できるため、それはAPTの攻撃者たちにとって完璧なツールだ。このTTP、および他のいくつかのTTPは過去にAPTグループSofacy(広く知られているロシア語の攻撃者)によって利用されてきた」とカスペルスキーは続けて述べている。

「ロシアのAPTグループが、Lazarusをはめようとした」ということは、あり得るだろうか? おそらくは。

他に考えられるものとしては、Lazarusが今回のオリンピック攻撃で偽旗作戦を利用している、というシナリオもある。

「このシナリオには、『攻撃者の動機』に関する未解決の疑問がいくつかある。今回の攻撃の影響を受けたネットワークの管理者アカウントを攻撃者たちが持っていることは、すでにわかっている。彼らはバックアップを削除し、すべてのローカルデータを破壊すれば、オリンピックのインフラストラクチャを簡単に壊滅することもできただろう。しかし彼らは、それよりも少し『軽め』の混乱を招くことを選んだ。つまりWindowsの共有ファイルを削除し、イベントログをリセットし、バックアップを削除してWindowsのサービスを実行不可能にし、起動ができない状態でシステムを再起動させた」とカスペルスキーは結論づけている。

「他の攻撃者に利用されているTTP、マルウェア、意図的な偽旗の利用、比較的良質なOpSecなどとの複数の類似点を加味して考えると、それだけの(それらのそれぞれのシナリオの)目的について、ますます多くの疑問が沸き上がるばかりだ」

今回のケースは、APT攻撃のアトリビューションの難しさを示すものだ。

より詳細な情報は、カスペルスキーのレポートで読むことができる。
 
翻訳:編集部
原文:Olympic Destroyer, alleged artifacts and false flag make attribution impossible
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

サイバーセキュリティの攻撃元として、特定の「国名」や「組織名」がでてきたら、注意が必要だ。THE ZERO/ONEでも何度も指摘しているが、サイバーセキュリティの世界では、国や組織を「偽る」ことが簡単にできてしまうからだ。

他国・他の組織になりすまして行動する「偽旗作戦」は、ネット上では手軽にでき、その効果も大きい。

平昌冬季オリンピックを狙ったOlympic Destroyerも、当初は「北朝鮮の犯行説」と報道された。けれども、この記事にもあるように、現在はロシアの犯行説が多数指摘されている。ロシアが本当に犯人なのかどうかは、断定できない。しかし、北朝鮮が罪をなすりつけられた可能性は高い。続報を知らないと、まだOlympic Destroyerは北朝鮮の犯行だと考えている人もいるだろう。

サイバーセキュリティの世界で特定の国、組織が「犯人」として出てくるときは、用心が必要だ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…