TheSAS2017
APT攻撃の調査研究とは、攻撃者たちがどのように作戦を遂行したのかを知り、同じことが繰り返し起こるのを防ぐにはどうしたらよいのかを探ることである。外からはそのように見えるかもしれません。しかし、それは一部分に過ぎません。真のサイバーセキュリティエキスパートは、さらに広範囲にわたる質問に対して回答を持っている必要があります。攻撃の目的は何か?攻撃は成功したのか?攻撃に使われたツールは?似たような手法やプログラムが使われた攻撃は他にあったのか?
このような疑問に対する答えがあれば、サイバーセキュリティの動向予測に役立ちます。しかし、何より重要なのは、こうした情報を持っていることで、同じ攻撃者による攻撃や同じコードを使った攻撃活動が現れた際に迅速な対応が可能となる点です。だからこそ、近年のサイバー犯罪の活動を研究することだけでなく、過去に起きた攻撃の手法について理解を深めることも等しく重要なのです。情報セキュリティに20年来関わり続けてきた企業として、Kaspersky Labはそのことの重要性を誰よりも理解しています。
そうした考えの下、当社のエキスパートは、ロンドン大学キングスカレッジのリサーチャーの支援を得て「Moonlight Maze」を慎重に調査してきました。Moonlight Mazeは初期のサイバースパイ活動の中でもよく知られた活動のひとつであり、少なくとも1996年以来活動を続けています。特に興味深いことに、さまざまな国のエキスパートたちは異口同音に、もっと近年の(そして現在もアクティブな)攻撃、Turla APT(英語記事)の背後にいるマルウェア作者との関連を指摘してきました。そして、私たちの調査の中で、Moonlight MazeとTurlaの関連が浮かび上がってきたのでした。
当社のエキスパートがいかにしてMoonlight Mazeの情報を手に入れたか。その経緯も、ひとつの読みものとして不足はないかもしれません。1990年代後半の時点で、Moonlight Mazeの調査資料は米国の法執行機関によってすべて機密扱いとされており、リサーチャーの目に触れることはありませんでした。しかし、道は通じていました。Moonlight Mazeの攻撃者は自分たちが特定されるのを避けるために、米国内の大学および図書館のプロキシサーバーで構成される大規模なネットワークを利用していました。彼らはのちに、英国内のとあるサーバーもハッキングして痕跡隠しに利用し始めましたが、この英国のサーバーでは攻撃活動の詳細がすべて記録されていました。ロンドン警察およびFBIと協働していた現地のシステム管理者が、サーバーのログを取っていたのです。このログが残っていました。当社のエキスパートは、Moonlight Mazeの活動が細かに記録されたタイムカプセルを手に入れたのでした。
本調査の中で最も興味深い発見は、Moonlight Mazeで使われたバックドアでしょう。このバックドアは、1996年にリリースされたLOKI2をベースとしています。LOKI2は、秘密のチャネルを通じたデータ通信を実現するUnixプログラムです。Linuxバックドアは、2014年にKaspersky Labが初めて検知したTurlaでも採用されていました。20年以上前に書かれたコードが、多少のアップデートはありながら、今でも現役なのです。
本調査の詳細はSecurelist(英語記事)にて公開しています。どこかミステリー小説の趣がある、このAPTの歴史的経緯にも若干触れています。
この件で得られた学びは、「今を理解するには過去を知らねばならない」。さして目新しいことではありませんが、新たなサイバー事例を調査するにあたって、当社は20年にわたり蓄積してきた知識をひとつの拠り所としながら臨んでいます。
Moonlight MazeとTurlaの物語は、Linuxは本質的に安全であると今でも信じている人々への、ひとつの警告でもあります。Linuxでも、セキュリティは保証されないのです。
ヒント