過去最大級に高度なAPT攻撃、Regin

2014年12月12日

APTAdvanced Persistent Threat)攻撃を追跡しているほぼすべての組織が、極めて高度な新しい攻撃プラットフォーム「Regin」(発音は「レイガン」、米国の元大統領の名前と似ています)に注目しています。どの組織も、Reginは予算が潤沢な国家による攻撃との見方でおおむね一致していますが、特定の国を名指しできるほどの確証はまだありません。

Regin-APT-Attacks-Among-the-Most-Sophisticated-Ever-Analyzed-1024x767

まるで、数多くの個人や組織がReginに関する調査書類を書き溜めていたかのようでした。というのも、先日Symantecがレポートの第1版を公開してから、間髪入れずに他社も次々とレポートを公開し、新たな調査結果を報告しているからです。これまでに解析されてきた中で最も高度な攻撃だと見ている企業やリサーチャー(Global Research and Analysis TeamGReAT)を含む)は、1人や1企業のレベルではありません。

Kaspersky Labの調査によれば、APT攻撃Reginの標的は、通信事業者、政府機関、国際政治団体、金融機関、研究機関、高度な数学や暗号の研究者でした。攻撃者の主な関心は、情報を収集し、他のタイプの攻撃を実行しやすくすることと見られています。攻撃集団はメールや文書などからひそかに情報を収集し、複数の電気通信企業と、少なくともGSMプロバイダー1社を執拗に攻撃しました。電気通信企業が標的となるのはよくあることですが、GSMプロバイダーが狙われることはあまりありません。

GSMGlobal System for Mobile Communicationsの略で、携帯電話間で交わされるセルラー通信の標準規格です。3Gおよび4Gネットワークの前身となる第2世代(2G)のモバイル通信技術ですが、各種レポートによれば、大半の通信企業で使われる規定のモバイルネットワーク規格です。219の国と地域で利用されており、モバイル通信市場におけるシェアは90%です。

攻撃者は、特定の携帯電話が処理する通話の情報にアクセスし、その通話を他の携帯電話に転送し、近くにある携帯電話を起動し、別の攻撃的活動を起こせた可能性がある

Kaspersky LabGlobal Research and Analysis Teamは、次のように報告しています。「この活動の目立って興味深い点は、攻撃集団がGSMネットワークに侵入して監視するという能力ではないでしょうか。現代社会では携帯電話ネットワークへの依存度がかなり高くなっていますが、そのネットワークは古い通信プロトコルを使用しているため、エンドユーザーは保護されません。全GSMネットワークには、警察機関などが容疑者を追跡する仕組みが組み込まれています。他の組織がこの能力を手に入れ、また別のタイプの攻撃を携帯電話ユーザーにしかける可能性もあります」

Kaspersky Labによれば、攻撃者は大手通信事業者のGSM基地局制御装置から証明書を盗み出し、そのネットワーク内のGSM携帯電話にアクセスする能力を持っていました。Threatpostマイク・ミモソ(Mike Mimosoは、基地局制御装置はモバイルネットワーク内を流れる通話の管理、リソースの割り当て、モバイルデータの転送を行うと指摘しています。

「つまり、攻撃者が特定の携帯電話が処理する通話の情報にアクセスし、その通話を他の携帯電話に転送し、近くにある携帯電話を起動し、別の攻撃的活動を起こせたであろう、ということなのです。現時点では、このような活動が可能であったとされている攻撃者は、Reginの背後にいる人々以外にいません」。Kaspersky Labのリサーチャーはこのように書いています。

見方を変えれば、Reginの攻撃者は携帯電話通信のメタデータをひそかに監視するだけでなく、ある番号から別の番号へ通話を強制的に転送することも可能だということです。

Reginは、ベルギーの有名な暗号研究者で数学者でもあるジーン・ジェイクス・キスクエイター(Jean-Jacques Quisquater)氏への攻撃にも絡んでいました。この点も興味深いところです。今年2月、キスクエイター氏の所有するコンピューターが6か月前からハッキングされていたと報じられました。著名な研究者がサイバー攻撃の標的にされることは珍しくありませんが、キスクエイター氏の場合は少し事情が違いました。同氏のマシンを狙った攻撃と、ベルギーの通信会社Belgacomを標的とした別の攻撃との間には、いくつか似たところがあったのです。

Belgacomへの攻撃はエドワード・スノーデン(Edward Snowden)氏による暴露で明らかになったもので、米国家安全保障局(NSA)と、英国でNSAに相当する機関である政府通信本部(GCHQ)が共同で実行したとされています。当然ながら、こうした類似は米国と英国の諜報機関が両方の攻撃に関与していることを示唆するものだ、と多くの報道機関が主張しました。Kaspersky Daily(当ブログ)もKaspersky Labも、このような報道が真実であるとは保証できませんが、当時多くの報道機関が取り上げた話題であり、ここで思い出すのも意味があるかもしれません。

キスクエイター氏との関連や、GSMを標的とする事実もさることながら、Reginの攻撃プラットフォームが極めて高度な技術を採用しているのも特徴です。特に、拡散能力が際立っています。標的ネットワーク内に目立たず留まれるように、攻撃者はコマンドインフラとの裏口を作成していました。また、攻撃の通信トラフィックはすべて、検知されないように暗号化されていました。攻撃者と指令(C&C)サーバーとの間の通信も、標的のマシンと攻撃インフラ間の通信も、両方です。

Reginの通信は、標的ネットワーク上の感染マシン(いわゆるボット)間で行われます。こうした仕組みになっているのには、2つの理由があります。1つは標的の奥深くにアクセスできること、もう1つはネットワークを出て指令サーバーに向かうデータ送信量を制限できることです。データが組織内のネットワークを離れて不明なネットワークへ移動しようとすれば警告が出ますが、ネットワーク内で行われるピアツーピア通信であれば、ネットワーク監視者が攻撃に気づきにくくなります。

Regin-graph-one-1024x640

ある中東の国では、Kaspersky Labが特定した標的ネットワークはすべて、一種のピアツーピア構造の中でほかのネットワークと通信していました。このP2Pネットワークに含まれていたのは、大統領府、研究センター、教育機関、銀行などです。標的となったネットワークの1つには、盗んだデータパケットを国外(インド)にある指令サーバーに転送する機能を持つボットが含まれていました。

「これは、かなり興味深い指揮統制メカニズムです。ほとんど疑われることはないでしょう。たとえば、大統領府に対するコマンドを銀行のネットワーク経由で送信すれば、大統領府のシステム管理者からは、その不正トラフィックが国内の銀行に関連したものとしか見えないのです」

Regin5段階で展開され、段階ごとに次の段階の攻撃がロードされるため、攻撃者は標的のネットワークに奥深く入り込むことが可能になります。第1段階の各モジュールには、標的のコンピューターに保存される実行ファイルだけが含まれており、モジュールはすべてMicrosoftBroadcomの偽のデジタル証明書によって署名され、正規のプログラムのように偽装されていました。

カスペルスキー製品はReginプラットフォームのモジュールを「Trojan.Win32.Regin.gen」および「Rootkit.Win32.Regin」として検知します。Reginについてさらに詳しく知りたい方は、Kaspersky Lab技術文書全文をご覧ください。