ヨーロッパと北米のエネルギー業界が、新たに急増中のサイバー攻撃に狙われています。標的になった企業は、業務に深刻な打撃を被る可能性があります。この攻撃に関与しているのが、Dragonfly の名で知られる攻撃グループです。Dragonfly グループは、遅くとも 2011 年から活動を続けていました。2014 年にシマンテックや多くの研究者の手で明るみに出されて、いったんは沈静化しましたが、この 2 年ほどのうちに活動を再開しています。「Dragonfly 2.0」とも言うべきこの活動は、2015 年の終わり頃に再開したようで、同じ手口やツールには同じグループの以前の活動とも共通点が見られます。
サイバー犯罪者がエネルギー業界に向ける関心は、この 2 年間というもの、高まる一方です。特に顕著だったのが、2015 年と 2016 年にウクライナの電力系統が停止に追い込まれたケースで、サイバー攻撃によって大規模な停電が発生し、数十万人の市民が影響を受けました。最近も、ヨーロッパの一部の国で電力網に対する攻撃未遂が報道されたり、米国で原子力施設を運用している複数の企業がハッカーによる侵入を受けたと報じられたりしています。
Dragonfly グループは、エネルギー施設の運用を把握することにも、稼働しているシステムそのものにアクセスすることにも関心を持っているようです。その気になれば、システムを破壊あるいは制御できるだけの潜在能力を秘めています。シマンテック製品をお使いのお客様は、Dragonfly グループの活動から保護されていますので、ご安心ください。
図 1. 最近の攻撃で見られた Dragonfly グループの活動の概要
Dragonfly 2.0
シマンテックは、Dragonfly 2.0 の活動が遅くとも 2015 年 12 月から続いている証拠をつかんでいます。また、2017 年に入って活動が明らかに活発になっていることも突き止めました。
米国、トルコ、スイスの組織では攻撃者の活動を明白に確認しており、その他の国でも活動の痕跡が認められます。米国とトルコは、過去の活動でも Dragonfly が狙う国に含まれていましたが、トルコの組織に向けられる関心は、最近の活動で特に強くなっているようです。
2011 年から 2014 年まで続いた先の活動と同じく、Dragonfly 2.0 も被害者のネットワークに侵入しようと、さまざまな感染経路を利用します。悪質なメール、水飲み場型攻撃、トロイの木馬を仕込んだソフトウェアなどです。
今回の新たな活動でシマンテックが最初に特定したのは、悪質なメールによる攻撃でした。2015 年 12 月、大晦日パーティーの招待状に偽装したメールが、エネルギー業界の標的に向けて送信されました。
2016 年から 2017 年に入っても、標的型の悪質なメールの攻撃がさらに続いています。メールの文面は、エネルギー業界に関連した具体的な内容や、ビジネス関連の一般的な内容です。開封すると、添付されている悪質な文書が、被害者のネットワーク資格情報を外部のサーバーに送信しようとします。
今年 7 月には、Cisco がブログ記事を公開し、Phishery というツールキットを使ってエネルギー業界を狙うメールベースの攻撃について報告しました。2017 年にシマンテックが拡散を確認したメールでも、テンプレートインジェクション攻撃を介して被害者の資格情報を盗み出すために、Phishery ツールキット(Trojan.Phisherly)が使われています。このツールキットは、2016 年の遅くに GitHub で公開されていました。
攻撃者は、悪質なメールを送信するほか、ネットワーク資格情報を収集するために水飲み場型攻撃も利用します。エネルギー業界のユーザーがアクセスしそうな Web サイトに侵入して待ち伏せするわけです。
盗み出された資格情報は、狙った組織に対する後続の攻撃に利用されました。あるケースでは、危殆化したサーバーにアクセスしたユーザーが、11 日後に PowerShell 経由でマシンに Backdoor.Goodor をインストールされるという被害にあっています。Backdoor.Goodor を利用すると、攻撃者は被害者のマシンにリモートアクセスできるようになります。
2014 年にシマンテックは、Dragonfly グループが正規のソフトウェアに侵入してマルウェアを拡散するケースも確認しました。2011 年初め頃の攻撃でも使われた手口です。2016 年と 2017 年の攻撃では、アプリケーションにトロイの木馬を仕込む際に、検出回避フレームワーク Shellter が使われています。とりわけ、Backdoor.Dorshel は Windows 標準アプリケーションにトロイの木馬を仕込んだバージョンとして拡散しました。
また、Flash のアップデートに偽装したファイルを使って悪質なバックドアを標的のネットワークにインストールすると考えられる形跡も、シマンテックは見つけています。ソーシャルエンジニアリングを利用して、Flash プレイヤーのアップデートをダウンロードする必要があると思い込ませる手口と考えられます。特定の URL にアクセスするとすぐ、被害者のコンピュータには install_flash_player.exe というファイルが侵入し、続いてバックドア Trojan.Karagany.B がインストールされます。
攻撃者は通常、リモートアクセスの足がかりを作り、必要に応じて追加のツールもインストールできるように、侵入先のコンピュータに 1 つ以上のバックドアを開けます。Goodor、Karagany.B、Dorshel はいずれも、このような目的に使われたバックドアの例で、Trojan.Heriplor も同様です。
[click_to_tweet:1]
以前の活動との強いつながり
Dragonfly グループの最近の活動には、以前の活動とのつながりを示す傾向が数多く見られます。なかでも、Dragonfly 2.0 で使われているトロイの木馬 Heriplor と Karagany はどちらも、2011 年から 2014 年という早い時期の活動でも使われていました。
バックドア Trojan.Heriplor は、Dragonfly 以外では使われていないようです。つまり、2011 年から 2014 年にかけて欧米のエネルギー業界を狙ったのと同じグループが、最近の攻撃にも関与している可能性が濃厚だということになります。Trojan.Heriplor はブラックマーケットにも出回っていないカスタムのマルウェアで、これまでにわかっている他の攻撃グループに使われた例はありません。Dragonfly が使う場合でも、エネルギー業界を狙った攻撃に限られています。
Trojan.Karagany.B は、Trojan.Karagany の進化形で、Karagany もかつて Dragonfly が利用していました。両者には、コマンド、暗号化、コードルーチンに共通点があります。Trojan.Karagny.B も容易に手に入るものではないようで、もっぱらエネルギー業界に対する攻撃で確認されています。一方、初期型の Trojan.Karagany はアンダーグラウンド市場に流出したため、必ずしも Dragonfly グループしか使っていないわけではありません。
|
攻撃の特徴
|
Dragonfly(2013-2014)
|
Dragonfly 2.0(2015-2017)
|
関連性
|
|
Backdoor.Oldrea
|
○
|
×
|
なし
|
|
Trojan.Heriplor(Oldrea のステージ II)
|
○
|
○
|
高
|
|
Trojan.Karagany
|
○
|
○(Trojan.Karagany.B)
|
中~高
|
|
Trojan.Listrix(Karagany のステージ II)
|
○
|
○
|
中~高
|
|
欧米のエネルギー業界が標的
|
○
|
○
|
中
|
|
Web サイトへの戦略的な侵入
|
○
|
○
|
低
|
|
フィッシングメール
|
○
|
○
|
低
|
|
トロイの木馬を仕込んだアプリケーション
|
○
|
○
|
低
|
図 2. Dragonfly によるサイバー攻撃活動の時期別の比較と関連性
サボタージュ活動の可能性
サボタージュ攻撃は、前段階として情報収集を伴うのが一般的です。攻撃者は、標的のネットワークやシステムに関する情報を収集して、後続の活動で悪用する資格情報を確保します。この最も顕著だった例が Stuxnet と Shamoon で、あらかじめ資格情報を盗み出し、それを使って破壊的なペイロードを操っていました。
こうなってくると、Dragonfly の初期の活動は、むしろ調査段階にすぎず、攻撃者は狙った組織のネットワークへの足がかりを築こうとしていただけという可能性が出てきます。最近の Dragonfly 2.0 を見ると、潜在的には運用システムにアクセスできるようになっており、それを今後さらに破壊的な目的に利用できる可能性があると推察されます。
そう懸念される大きい根拠となるのが、スクリーンキャプチャの使われ方です。ある場合など、攻撃者はスクリーンキャプチャファイルについて [マシンの説明と所在].[組織名] という明らかな書式設定を使っていました。マシンの説明は多くが「cntrl」という文字列(control)になっており、おそらく、マシンが運用システムにアクセスできることを表しているようです。
[click_to_tweet:2]
手がかりとダミー情報
Dragonfly グループの出自をシマンテックは確実に突き止めたわけではありませんが、完成された攻撃グループであることは間違いありません。多様な手段で狙った組織に侵入でき、資格情報を盗み出して標的のネットワーク内を自在に移動します。利用しているマルウェアの範囲も広く、その一部はカスタム開発された節もあります。Dragonfly は、目的がきわめて明白なグループです。少なくとも 2011 年からエネルギー業界を狙う標的型攻撃をしかけており、2016 年からは一新した活動が確認されています。
Dragonfly グループの活動には、その背後関係を明確に特定するのを難しくするという意図もあるようです。
- Dragonfly は、PowerShell や PsExec、Bitsadmin といった管理ツールをはじめ、どちらかと言うと手に入りやすいマルウェアや、「現地調達型」のツールを使っていました。これは、帰属先の特定をさらに難しくする戦略の一環と考えられます。Phishery ツールキットが 2016 年に Github で入手できるようになったほか、Dragonfly が使っている Screenutil というツールも、CodeProject のコードを一部利用しているようです。
- ゼロデイ脆弱性は使われていませんでした。入手しやすいツールを使うのと同様、これも帰属先を特定しにくくする意図的なものと見られますが、単にリソース不足ということも、考えられなくはありません。
- マルウェアのコード文字列には、ロシア語で書かれている部分も、フランス語で書かれている部分もあります。どちらかの言語がダミーかもしれません。
矛盾する証拠があるうえ、帰属先の特定を困難にしようと試みているため、Dragonfly グループについては、活動拠点もその背後関係も断定が難しくなっています。
明らかなのは、Dragonfly がきわめて老練な犯罪グループだということ、そして多くの組織に侵入して情報を盗み出し、重要なシステムにアクセスできるということです。これまでに集めた情報を使って、これから何を企んでいるのかは不明ですが、その気になれば狙った組織を物理的に阻害できるだけの能力を備えていることは、間違いありません。
保護対策
シマンテックをお使いのお客様は、Dragonfly の活動から保護されています。そのほかシマンテックは、最近の Dragonfly の活動で明らかになった標的に対して通知を送ることに努めています。
シマンテックは、今回のブログでお伝えした脅威に対して次の検出定義を用意しています。
また、Dragonfly の活動を見きわめるために、侵害指標のリストも作成しました。
|
ファミリー
|
MD5
|
コマンド & コントロール
|
|
Backdoor.Dorshel
|
b3b5d67f5bbf5a043f5bf5d079dbcb56
|
hxxp://103.41.177.69/A56WY
|
|
Trojan.Karagany.B
|
1560f68403c5a41e96b28d3f882de7f1
|
hxxp://37.1.202.26/getimage/622622.jpg
|
|
Trojan.Heriplor
|
e02603178c8c47d198f7d34bcf2d68b8
|
|
|
Trojan.Listrix
|
da9d8c78efe0c6c8be70e6b857400fb1
|
|
|
Hacktool.Credrix
|
a4cf567f27f3b2f8b73ae15e2e487f00
|
|
|
Backdoor.Goodor
|
765fcd7588b1d94008975c4627c8feb6
|
|
|
Trojan.Phisherly
|
141e78d16456a072c9697454fc6d5f58
|
184.154.150.66
|
|
Screenutil
|
db07e1740152e09610ea826655d27e8d
|
|
ベストプラクティス
-
Dragonfly がネットワークに侵入するとき全面的に利用しているのは、盗み出した資格情報です。強い権限を持つなどの理由で重要性の特に高いパスワードは、8 ~ 10 文字以上の長さにし(長ければ長いほどよい)、文字と数字を組み合わせるようにしてください。複数の Web サイトで同じパスワードを使い回さないようユーザーに注意を喚起し、他のユーザーとパスワードを共有することは禁止します。使っていない資格情報やプロファイルは削除し、管理レベルのプロファイルの作成にも制限を設けましょう。2 要素認証(Symantec VIP など)を導入してセキュリティの層を追加すれば、資格情報が盗み出されたとしても攻撃者による悪用を防ぐことができます。
-
特定の技術や保護手法で単一障害点が発生しないように、相互補完的に重なり合う複数の防御システムを重視します。これに含まれるのが、定期的に更新するファイアウォールやゲートウェイウイルス対策、侵入検出または保護システム(IPS)、マルウェア保護による Web 脆弱性対策などです。また、Web セキュリティゲートウェイソリューションをネットワーク全体に行きわたらせる必要もあります。
-
機密性の高いデータを保管時にも転送時にも保護するセキュリティポリシーを実装して実施します。顧客データも、もちろん暗号化してください。組織内部からデータが漏えいした場合の損害を軽微にとどめられる可能性があります。
-
SMB 外向きトラフィックフィルタリングをネットワーク境界デバイスに実装し、SMB トラフィックが社内ネットワークからインターネットに出ていかないようにします。
-
従業員に対して、スピア型フィッシングメールの危険性を教育します。心当たりのない送信元からのメールに警戒する、大量送信メールの添付ファイルを開かないといったことです。メール経由の脅威を遮断できる Symantec Email Security.cloud、エンドポイントでマルウェアを遮断できる Symantec Endpoint Protection などで万全な保護対策を講じれば、メール由来の攻撃は防ぐことができます。Symantec Messaging Gateway の Disarm テクノロジも、ユーザーに届くより前に添付ファイルから悪質なコンテンツを削除して、コンピュータを脅威から保護します。
-
DeepSight Adversary Intelligence を通じて、相手の用いるツール、手法、手順(TTP)を理解することが、Dragonfly 2.0 のような強敵を撃退するうえで効果的です。グループについて技術的に理解するだけでなく、動機と能力、予想される今後の動きまで把握できる戦略的な情報を得られれば、タイムリーで有効な判断によって、こうした脅威からプロアクティブに環境を保護できます。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。