Lurk掃討作戦:グループ逮捕に至るまで

トロイの木馬Lurkを開発していたサイバー犯罪者たちがロシア警察に逮捕され、Kaspersky Labも捜査に協力しました。逮捕に至るまでの過程はどのようなものだったのでしょうか。

lurk-featured

サイバー犯罪者に関する最大の問題は、おそらく、捕まえるのがきわめて難しい点でしょう。銃を持ちフェイスマスクを被った犯人が現実世界で銀行強盗をしたのであれば、犯人が残した指紋、監視カメラに録音された声、交通監視カメラを使った車両の追跡など、さまざまな手段を容疑者の捜索に役立てることができます。しかしサイバー犯罪者による金銭強奪の場合、期待するような痕跡は残りません。基本的に。

それでも、サイバー犯罪者も捕まることがあります。たとえばバンキング型トロイの木馬SpyEyeの作成者たちは、2011年に逮捕されました。2010年から2012年にかけて活動していたCarberpのグループも、やはり逮捕されました。では、6月下旬に突如として姿を消した(英語記事)悪名高いエクスプロイトキット、Anglerはどうでしょうか?時を同じくして、マルウェアLurkも攻撃を停止しています。ロシアの捜査当局が、Kaspersky Labの協力を得てLurkの黒幕グループを逮捕したのです(英語記事)。

発端は2011年、当社が初めてLurkに遭遇したことに始まります。リモートバンキングソフトウェアを使用して金銭を盗み取るトロイの木馬が、当社のマルウェア命名システムによって、用途はさまざまだが金銭の窃取には使われないタイプのトロイの木馬として分類されたことが私たちの注意を引き、詳しい調査へと至ったのでした。

調査では、ほとんど結果が得られませんでした。このトロイの木馬は、何もしていないように見えました。しかしLurkの攻撃は続き、検体は増えていきました。

こうした検体の調査を通じ、Lurkについて多くのことがわかってきました。たとえば、モジュラー型構造(英語記事)になっていること。Lurkは、リモートバンキングソフトウェアがインストールされているコンピューターに自身が感染したことを察知すると、悪意あるペイロードをダウンロードし、そのペイロードが金銭を窃取します。当社の命名システムで当初Lurkをバンキング型トロイの木馬として分類しなかったのはそのため、つまり、このペイロードが見つかっていなかったためです。

また、Lurkは感染したコンピューターのRAM内のみで動作し、ハードディスクに痕跡を残さないようにしていることも判明しました。これが検知を難しくしていました。さらに、難読化と暗号化があちこちで使われていました。指令サーバー(C&Cサーバーは、偽の登録データを使って登録されたドメイン上に置かれていました。そしてソフトウェア(Lurk本体、悪意あるペイロードの両方)は、標的とする銀行に合わせて改変が繰り返されていました。

このようにLurkの作成者たちは慎重さを見せており、当社では、こうした複雑なマルウェアの背後にはプロ集団がいるに違いないと考えました。しかしながら、プロといえども人間であり、人間はミスを犯すものです。そうしたミスを糸口に、Lurkの背後にいるグループの特定に役立つ情報を得ることができました。

判明したところによると、Lurkは15人ほどのグループによって作成され、活動を続けていましたが、活動停止時点ではグループメンバーが40人に増えていました。マルウェア本体と、マルウェア配布用ボットネットという2つのプロジェクトを進行させており、プロジェクトごとに担当チームが分かれていました。

プログラマーのグループがLurkを開発し、テスターのグループがさまざまな環境でLurkの動作をチェックしていました。ボットネット担当チームには、管理者、オペレーター、金銭フロー管理者などの役割を持つ人がいました。いわゆる「マネーミュール」がATMから現金を引き出し、マネーミュール管理者がその現金を回収します。

lurk-structure

関与した人々のほとんどは、基本的に給与制で働いていました。Lurkの黒幕たちはヘッドハンティングのWebサイトに求人情報を掲載し、在宅勤務で好待遇の正規雇用をうたってメンバーを募集しました。面接では応募者に正義感が強いかどうかを尋ね、そうでないと答えた人が採用されました。

Lurkの開発とボットネットの管理には、大勢のスタッフだけでなく、サーバー、VPN、各種ツールを始めとした高価なインフラも必要です。事業開始から数年経過した時点でLurkチームは、中規模IT企業の様相を呈していました。そして多くの企業と同じように、創業後しばらくしてから事業の多角化に乗り出したのです。

現時点で最高水準と言える高度なエクスプロイトキットであるAngler(別名XXX)の作成を手がけたのも、Lurkの黒幕たちでした。Anglerは当初、Lurkを標的へ送り込むためのツールとして設計されましたが、後に第三者にも販売するようになりました。それが大当たりして無敵の様相を呈したLurkの黒幕たちは、ロシアのサイバー犯罪者たちの間で伝説的と言ってよい存在になり、アンダーグラウンド市場でのAnglerの販売にもいっそう弾みがつきました。

Anglerは、サイバー犯罪者の間で広く使われるようになりました。たとえば、CryptXXXTeslacryptの配布にも使用されています。

しかしAnglerを販売し始めた頃、彼らに残された時間はすでにわずかでした。ロシア警察がKaspersky Labの協力を得て、疑わしいグループメンバーを逮捕できるだけの十分な証拠を集めていたのです。2016年6月にLurkの活動は停止し、ほどなくしてAnglerも同じ道をたどりました。このサイバー犯罪者たちは、十分な対策を講じているのだから捕まるはずはない、と最後まで考えていました。

十分に講じた対策のおかげで、彼らはしばらく身を隠すことができましたが、賢いサイバー犯罪者もやはり人間です。遅かれ早かれどこかでつまずき、何らかのミスを犯し、優秀な捜査官のチームに見つかるのです。逮捕に至るまでは多くの時間と労力が費やされるものですが、このようにして私たちはサイバー世界の正義を保っています。

ヒント