Kaspersky Lab、最も高度なAPT攻撃「The Mask」を確認

2014年2月18日

プンタ・カーナ発 – 国家による支援を受けたとみられるサイバー犯罪者集団が、政府機関、大使館、在外公館、電力会社などを5年以上前から標的としていたことがわかりました。Kaspersky Labのリサーチャーはこの攻撃を、かつてないほど高度なAPT(Advanced Persistent Threat)攻撃としています。

mask_apt

Kaspersky Labは、先日ドミニカ共和国で開催したSecurity Analyst Summitにて、この攻撃について発表しました。この脅威は「Careto」(通称「The Mask」)と呼ばれます。この言葉はスペイン語で、「醜い顔」または「マスク」という意味を持つと言われています(スペイン語話者の間ではどちらが適当なのか見解が分かれているようです)。

今回の攻撃が憂慮されるのは、極めて高度なスキルを持つ攻撃者が学習を積み重ね、自らの技術を磨き上げ、特定の標的に対する感染・スパイ行為・情報窃取の能力を高めてきたことが、明確に実証されているためです。また、誰にも気づかれないように存在し、2007年から密かに機密データを傍受してきたことも懸念すべき点です。Global Research and Analysis Team(GReAT)ディレクターのコスティン・ライウ(Costin Raiu)によれば、今回の攻撃が発覚したのは、旧バージョンのカスペルスキー製品に存在するパッチ適用済みのぜい弱性を攻撃者がエクスプロイトしようとしたことに端を発しています。これがなければGReATのリサーチャーたちは「The Mask」を発見できなかったかもしれない、とライウは述べています。

ライウは、The Maskに関する講演で「カスペルスキー製品にエクスプロイトを仕掛けるほど愚かなことはない」と述べました。

このように極めて高度なAPT攻撃では、特定のネットワークにアクセスできる個人のコンピューターを感染させるのが一般的ですが、今回感染したのは政府機関や電力会社のコンピューターがほとんどでした。つまり、攻撃者は大多数の一般人には興味がなかったのです。Kaspersky LabのGReATがこのAPT攻撃に関するプレビューを公開した数時間後、この知られざる攻撃者はC&Cサーバーをシャットダウンしました。

カスペルスキー製品のエクスプロイトに挑むほど愚かなことはありません

Kaspersky Labのリサーチャーは、攻撃者が使用していたC&Cドメインの約90個でシンクホールを行いました。シンクホールとは、リサーチャーがボットネット(またはマルウェアの通信インフラストラクチャ)の支配権を奪い、攻撃を制御する悪質なサーバーからトラフィックをリダイレクトするプロセスです。プレビュー記事が公開されてから約4時間のうちにThe Maskの実行者はすべてをシャットダウンした、とライウは述べています。

しかしながら、ライウは、攻撃者がその気になればすぐにでも活動を再開し、難なくThe Maskを復活させることも可能だとしています。

この活動には他にも注目すべき点があります。ひとつには、この種の攻撃の発信源とされることの多い中国とは関係がなさそうである点です。また、攻撃の首謀者がスペイン語を話す人物と見られるのも興味深い点です。珍しいケースではありますが、世界にはスペイン語話者が4億人近くおり、中国語に次いで多く話されている言語であることを考えれば驚愕の新事実というほどではありません。The Maskの攻撃の主な標的もスペイン語話者ですが、その所在地は30か国以上にわたります。

さらに、このグループは少なくとも1つのゼロデイ攻撃と、Mac OS XやLinuxが動作するコンピューターを狙うバージョンのThe Maskマルウェアを使用し、iOSやAndroid OSが動作するデバイスも標的としていた可能性があるとされています。モロッコで被害に遭った人のうち少なくとも1人のデバイスがC&Cインフラストラクチャと3Gモバイルネットワーク経由で通信していた、とライウは述べています。

「この攻撃者集団は、インフラストラクチャの管理方法から見てFlameの集団よりも高度です。スピードや専門技術については、Flameやこれまでに見てきたどの攻撃者集団をも上回っています」(ライウ)

Kaspersky Labのリサーチャーが2012年に発見したFlameもAPT攻撃の一種です。中東諸国を標的とし、Microsoftから直接送られてきたかのように装った偽のデジタル証明書を極めて巧妙に生成していました。

The Maskの攻撃者も、標的にスピアのフィッシングメールを送りつけ、エクスプロイトが置かれた悪質なWebサイトに誘導する、というよくある手段をとりました。そのサイトに置かれたエクスプロイトには、攻撃者が標的に送った直接リンク以外からはアクセスできないようになっていました。

攻撃者は多種多様なツールを意のままに使っていた、とライウは述べています。たとえば、標的のコンピューターに長期間潜伏し、TCPおよびUDPによる通信(インターネットへの通信を行う各種プロトコルのうち2つにすぎません)をすべてリアルタイムで傍受して、感染したコンピューターで検知を逃れ続けるツールなどです。標的とC&Cサーバーとの通信はすべて暗号化されていた、とライウは指摘しています。