2,800 件以上の被害をもたらした、重要施設を狙う世界的なスパイ活動「Crouching Yeti」

[本リリースは、2014 年7月31日にKaspersky Labより発表されたプレスリリースの抄訳です]

Kaspersky Lab は、「Crouching Yeti」（別名：Energetic Bear）と呼ばれるサイバースパイ活動に用いられたマルウェアおよび C&C サーバーのインフラストラクチャに関し、弊社のグローバル調査分析チーム（Global Research and Analysis Team：GReAT）^※1 がまとめた詳細な分析結果を発表しました。この活動は 2010 年末に始まりましたが、現在も継続中であり、日々新たな標的が狙われています。

主な標的：非エネルギー分野

Crouching Yeti は、複数の APT 攻撃に関与しています。弊社の調査では、被害は当初の予測よりも広範囲におよんでおり、確認された被害企業は次の分野に該当していました。

•  産業 / 機械、製造、製薬、建設、教育、IT 関連

確認できた被害者数は世界各地で 2,800 以上にのぼり、 101 の組織での被害が特定されました。被害者のリストでは、 Crouching Yeti が戦略的に標的を定めているように見えますが、同時に意図の不明な組織も攻撃の対象となっています。GReAT は、これらの組織が付随的に攻撃されたと見ています。ただし、 Crouching Yeti が「特定の分野だけを対象とする標的型攻撃」というだけでなく、さまざまな分野を対象とした「幅広い調査活動」と定義することも妥当かもしれません。
攻撃の対象となったのは、主にアメリカ、スペイン、日本、ドイツ、フランス、イタリア、トルコ、アイルランド、ポーランド、中国に存在する組織です。これらの組織の特性から、主な被害は企業秘密などの機密情報の流出であることがわかります。

複数の追加モジュールを使用する悪性ツール：

Crouching Yeti は、最新鋭の攻撃様式とは言えません。たとえば、ゼロデイエクスプロイトは一切使われず、インターネット上で簡単に入手可能なエクスプロイトのみが使用されています。それでも、この活動は数年間にわたり発見されずにいました。
GReAT の研究者は、被害者のシステムから重要な情報を引き出すために攻撃者が使用した、5 種類の悪質なツールが存在する証拠を発見しました。

•  トロイの木馬 Havex、トロイの木馬 Sysmain 、バックドア ClientX、バックドア Karagany と関連するスティーラー、ラテラルムーブメントおよび攻撃の第 2 段階で使用されるツール

最も多く使用されるツールは、トロイの木馬 Havex です。GReAT では、この悪性プログラムとその亜種を合計 27 種類、さらに複数の追加モジュールを発見しました。これには、産業用制御システムからのデータ収集を目的とするツールも含まれています。
Crouching Yeti で使用される Havex などの悪性ツールは、ハッキングされた Web サイトで構成される大規模ネットワークを C&C サーバーとして使用していました。これらのサイトは被害者の情報をホストし、ウイルス感染させたシステムや付加的なマルウェアモジュールにコマンドを送っていました。
ダウンロードされるモジュールには、パスワードおよび Outlook の連絡先の詐取およびスクリーンショットをキャプチャするツールに加え、特定の種類のファイル（テキスト文書、スプレッドシート、データベース、PDF ファイル）や仮想ドライブ、パスワード保護されたファイル、PGP キーを探して盗むモジュールなどが含まれています。

産業スパイ活動：

現在のところ、Havex には特定の産業 IT 環境からデータを収集し、攻撃者に送信することを目的とした特別な 2 つのモジュールが組み込まれていることがわかっています。その 1 つは、OPC スキャナーモジュールで、ローカルネットワーク内で動作する OPC サーバーに関する緻密なデータの収集を目的に設計されたものです。通常、OPC サーバーは、複数の産業用自動化システムが稼働する環境で使用されます。
OPCスキャナーモジュールには、ネットワークスキャンツールが付属します。このモジュールは、ローカルネットワークをスキャンし、OPC / SCADA ソフトウェアに関連するポートを開いているすべてのコンピューターを探します。そして、そのようなホストに接続すると、動作中の OPC / SCADA システムを割り出し、収集したすべてのデータを C&C サーバーに送信します。

攻撃元の謎：

GReAT の研究者たちは、この活動の背後の犯罪者らの国籍を示す可能性のあるいくつかの特徴を発見しました。たとえば、154 のファイルのタイムスタンプを分析した結果から、それらのほとんどが UTC 時間の 6 時から 16 時の間にコンパイルされていたことを突き止めました。基本的には、西ヨーロッパと東ヨーロッパの各国がこの時間帯に合致します。
また攻撃者の言語を分析した結果、分析したマルウェア内に使用されていた文字列は、（ネイティブによって書かれたものではないと思われる）英語でした。この活動を以前に調査した他社の研究者の見解とは異なり、GReAT の研究者は、この攻撃がロシア発であるとはっきり結論付けることはできませんでした。約 200 もの悪質なバイナリファイルにも、またそれに関連するコンテンツにも、キリル語（またはキリル語の別言語への音訳）は一切認められませんでした。これは、弊社が以前に発表した Red October、Miniduke、Cosmicduke、Snake、TeamSpy の調査結果とは異なり、また、フランス語やスウェーデン語の使用を示す手がかりも見つかっています。

GReAT のプリンシパルセキュリティリサーチャーであるニコラス・ブルーレス（Nicolas Brulez）は、次のようにコメントしています。「Energetic Bearは、Crowd Strike 社がつけた名前です。同社 はこの活動の拠点はロシアにあるとしており、その属性から Bear と命名しています。弊社は現在も手掛かりを調査中ですが、現在のところ明らかな特徴は掴めていません。私たちは、攻撃者の興味が発電事業者に留まらず、さらに拡大していると分析しています。このようなデータに基づいて、弊社はこの活動に新たな名前を与えることにしました。Yeti（イエティ：雪男）は熊よりももっとミステリアスな存在です」
Kaspersky Lab のGReAT の研究者たちは、現在も調査を継続するとともに、捜査当局およびセキュリティ業界のパートナーとも連携しています。この調査結果の全文は、Securelist.com でご覧いただけます。

検知名：

Kaspersky 製品は、この活動で使用されるマルウェアとそのすべての亜種を次の検知名で検知、駆除します。

Trojan.Win32.Sysmain.xxx、Trojan.Win32.Havex.xxx、Trojan.Win32.ddex.xxx、Backdoor.MSIL.ClientX.xxx、 Trojan.Win32.Karagany.xxx、Trojan-Spy.Win32.HavexOPC.xxx、Trojan-Spy.Win32.HavexNk2.xxx、Trojan- Dropper.Win32.HavexDrop.xxx、Trojan-Spy.Win32.HavexNetscan.xxx、Trojan-Spy.Win32.HavexSysinfo.xxx など。

※1 Global Research and Analysis Team（GReAT：グレート）
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。