Kaspersky Lab、暗号化通信を窃取する、極めて高度なAPT「ProjectSauron」を発見

～政府、軍、科学研究機関、通信事業者、金融機関など30超の組織が標的に～

[本リリースは、2016年8月8日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

2015年9月、Kaspersky Labの調査分析チーム（GReAT）^※1 が、標的型攻撃対策プラットフォーム「Kaspersky Anti-Targeted Attacks Platform」^※2 を導入している組織で検知された異常を調査したところ、国家が支援すると考えられるサイバー犯罪グループ「ProjectSauron」による攻撃であることがわかりました。これまでこのグループの標的となった組織は、政府、軍、科学研究機関、通信事業者、金融機関など30を超えており、その多くがロシア、イラン、ルワンダに拠点を置いています。また、イタリア語が話される国も攻撃対象になっているとみられ、今後、ProjectSauronによる影響は、さらに多くの組織と地域に及ぶものと考えられます。

2011年6月に始まったProjectSauronの活動は、現在も継続中です。標的ごとに異なるツール群を使って攻撃するため、従来の脅威存在痕跡（IOC）ではほとんど発見することができません。攻撃にかけるコスト、複雑さ、執拗さ、そして国の重要機関から機密情報を窃取するという活動から、ProjectSauronは国家が関与または支援するグループであり、攻撃の目的は主にサイバースパイ活動とみられています。なお、感染経路については詳しいことはまだわかっていません。

ProjectSauronは、独自のツールや手法を組み込んだ高度なモジュール型サイバースパイプラットフォームを使用し、暗号化された通信の窃取を狙います。特徴として、決まった手法を意図的に避け、標的ごとに利用するマルウェアとインフラをカスタマイズし、それらを再利用することは決してありません。さらに、窃取したデータの持ち出しに正規のメールやDNSなど複数のルートを使うことで、標的ネットワークに対するスパイ活動を秘密裏に長期間にわたって行うことを可能にしています。これまでGReATが発見した「Duqu」「Flame」「Equation」「Regin」といった、他の極めて高度なサイバー犯罪グループの最も革新的な手法を取り入れ検知を回避しているものとみられ、ProjectSauronは極めて高度な攻撃者グループと考えられます。

主な攻撃手法とツール

• 唯一無二の痕跡： 攻撃の中核を成すマルウェアは、それぞれファイル名とサイズが異なり、標的ごとに個別に作成されます。標的以外の環境では意味を成さないため、通常のIOCでの検知を非常に困難にしています。
• メモリ上で動作：マルウェアは、正規ソフトウェアの更新スクリプトを使用し、バックドアとして機能します。これにより、攻撃者は追加でモジュールのダウンロードやコマンドをメモリ内でのみ実行することができます。
• 暗号通信への偏向： ProjectSauronは、非常に珍しい、カスタマイズされたネットワーク暗号化ソフトウェアに関する情報を積極的に収集しています。このクライアント・サーバーソフトウェアは多数の標的組織で、通信、音声、メール、文書のやりとりを保護するために広く使用されています。攻撃者が特に関心を持っているのは、暗号化ソフトウェアのコンポーネント、鍵、設定ファイル、そして暗号化されたメッセージをノード間でリレーするサーバーの位置情報です。
• スクリプトベースの柔軟性： 攻撃者グループは、高度なLuaスクリプトによって編成される、低レベルのツール群を使っています。Luaコンポーネントがマルウェアに使用されることは非常に稀で、これまでに、GReATが発見した「Flame」「Animal Farm」の攻撃でのみ確認されています。
• エアギャップを迂回：特別製のUSBドライブを利用することで、ProjectSauronは隔離されたネットワーク間のエアギャップを飛び越えます。このUSBドライブには窃取したデータを保存する隠された領域があります。
• 複数の持ち出し経路：窃取したデータを持ち出す経路は、正規のメールやDNSなど多数あり、標的からコピーして窃取した情報は日常的なトラフィックに偽装されます。

Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、ヴィタリー・カムリュク（Vitaly Kamluk）は次のように述べています。「現在、多くの標的型攻撃では、簡単に入手可能な低コストのツールが利用されています。ProjectSauronは対照的に、自前で開発した信頼性の高いツールとスクリプト化されたカスタマイズ可能なコードを利用します。コントロールサーバーや暗号鍵などの独自のインジケーターを一度しか使わない点や、他の大規模脅威グループの最先端の手法を採用している点ではかなり新しいと言えます。このような脅威を防御するには、幾重にもわたるセキュリティ層を築くほかありません。その基盤となるのが、組織のワークフロー内のごく軽微な異常を検知するセンサー群であり、これを脅威インテリジェンスとフォレンジック分析によって増強し、一見、皆無と思えるパターンを見つけ出す必要があります」

Kaspersky Labのセキュリティエキスパートは組織に対し、ITネットワークとエンドポイントの徹底的な監査に着手するとともに、以下の対策を実施するよう推奨しています。

• エンドポイント保護に加えて、異常を検知できる標的型攻撃対策ソリューションを導入する。
• 異常が検知された場合は、専門家に連絡する： 極めて高度なセキュリティソリューションであれば、進行中の攻撃でも検知することができます。また、大規模な攻撃を効果的に防御、軽減、分析できるのは、セキュリティのプロだけという場合もあります。
• 脅威インテリジェンスサービスによって補完する： 組織のセキュリティチームが、脅威をめぐる状況の最新の進化、攻撃のトレンド、警戒すべき兆候について、情報を入手できるようになります。
• 社員のトレーニングを実施する：多くの標的型攻撃は、まずスピア型フィッシングなどで社員へのアプローチから始まるため、サイバー空間での責任あるふるまいに対するトレーニングは欠かせません。

カスペルスキー製品は、ProjectSauronが使用するマルウェアを次のとおり検知し、ブロックします。HEUR:Trojan.Multi.ProjectSauron.gen　

IOC（Indicators of Compromise）とYARAルールを含むProjectSauronの詳細については、Securelistをご覧ください。また、Kaspersky Lab APT Intelligenceレポートサービスでは、ProjectSauronの詳細レポートを提供しています。

※1 GReATについて
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

※2 Kaspersky Anti-Targeted Attacks Platform
ネットワークセンサー、エンドポイントセンサー、サンドボックスとAPTアナライザーを備えた標的型攻撃対策プラットフォーム（日本では2016年内に提供開始予定）