Lazarus:Sonyハッキング、軍事諜報活動、韓国銀行への攻撃に関与

Kaspersky Labは他社および専門家との共同調査を通じ、Lazarusグループの犯罪活動を明らかにしました。

2014年11月24日朝は、Sony Pictures Entertainment社員の脳裏に刻まれた日となりました。その日、正体不明のサイバー犯罪集団が同社のサーバーをハッキングし、大量の機密情報を流出させ、Sonyブランドは信頼回復という難題を突きつけられたのでした。FBIは、北朝鮮のハッカーの仕業であるとの疑いを表明しました(英語記事)。それ以降、この犯罪者たちに関して多くが知られることはありませんでした。今日までは。

Kaspersky Labは、社会のセキュリティ向上に役立てるため、NovettaおよびAlienVault Labsほかと連携して臨んだ、サイバー犯罪グループ「Lazarus」に関する共同調査について公表します。この犯罪者グループはSony Pictures Entertainmentのハッキングに関わったと見られ、ソウルに拠点を置く銀行や報道機関を狙った数々の攻撃(2013年)にも関与したと考えられています。

例のSony Pictures Entertainmentハッキング事件の後、当社のスペシャリストたちは、この攻撃で使われたと公に名指しされたマルウェア「Destover」のサンプルを解析しました。その中で、共通の性質を持つ異なるマルウェアサンプルが数々のサイバー犯罪活動に使用された形跡が認められました。

当社でのこの調査は、同一のグループによる新たなマルウェアの存在を事前に見つけ出す一助となりました。

Lazarusグループは他に何をしたのか、私たちはどうやって気づいたのか

この攻撃者グループは、自分たちが開発したものを積極的に再利用していました。1つの悪意あるプログラムのコードを、別のプログラムに流用していたのです。さらに、異なるペイロードをインストールするのに使われる特殊なファイル(ドロッパー)は、パスワード保護されたZIPファイル内にデータを格納するという共通点を持っています。ファイルのパスワードは別の攻撃活動で使われたものと同一で、ドロッパー内にハードコードされています。

また、感染システムから自らの痕跡を消去するために使われる手法にも類似点が見られ、同グループの正体を特定する手がかりとなりました。

この調査により、犯罪者集団「Lazarus」が軍事諜報活動に関与していたこと、また金融、報道、製造などの業界で業務妨害に及んでいたことが明らかになりました。当社の把握するかぎりでは、被害の多くは韓国、インド、中国、ブラジル、ロシア、トルコなどで認められています。同犯罪者グループは、Hangman(2014-2015)およびWild Positron(別名Duuzer、2015)と呼ばれるマルウェアの作成も行っています。Wild Positronは、Security Analyst Summit 2016でも話題に上りました。

lazarus_map_ja

当社の調査結果はAlienVault Labsに共有され、両社は双方の取り組みを一本化した共同調査に踏み切りました。一方で、多数の企業やセキュリティ専門家がLazarusグループの活動を調査していることも判明しました。その1社であるNovettaは、これら関係者による調査結果を公にすることを目指した「Operation Blockbuster」(ブロックバスター作戦)を始動し、Kaspersky Labもこれを支援しました。

この犯罪者グループについて判ること

Lazarusが作り出した最初のマルウェアサンプルは、2009年に遡ります。Sonyに対する攻撃の5年前でした。2010年以降、新規サンプルの数は大幅に増加しています。このことから、Lazarusグループは長期にわたって活動する攻撃グループであると考えられます。同グループの活動は2014年から2015年にかけてピークに達し、2016年の現在も活発に続いています。

operation-blockbuster-samples-count-ja

同グループの活動時間から判断すると、彼らの活動域はグリニッジ標準時(GMT)+8時間または+9時間のタイムゾーンであり、真夜中(GMT 0:00)頃に活動を開始、GMT3:00頃に昼食休憩をとっています。また、同グループは非常に仕事熱心で、稼働時間は1日15〜16時間に及びます。これまで当社で把握しているAPT集団(参考サイト)の中でも特に勤勉な集団と見受けられます。

lazarus-group-activity-ja

このほかにも興味深い特徴が観測されています。Novettaによると、同社が収集したLazarusグループの実行ファイルサンプルのうち3分の2に、韓国/朝鮮語話者に特徴的な要素が含まれていました。

調査は現在も進行中です。Lazarusグループの詳細と当社による調査の内容は、Securelist(英語)にてご覧いただけます。

関係者はブロックバスター作戦を通じ、この危険なサイバー犯罪者集団について多くのことを解明しました。さまざまな理由から、一社単独ではここまでの結果を導き出すことはできなかったことでしょう。たとえば、セキュリティ製品はさまざまな企業によって開発されており、各製品の地政学的分布も一様ではありません。今回の連携は、情報共有がいかにして犯罪者の特定に結びつき、インターネットをより安全な場にする一助となり得るのかを示す好例となりました。

ヒント