Operation Blockbuster（ブロックバスター作戦）：セキュリティベンダーの共同調査により、一連のAPTを解き明かす

[本リリースは、2016年2月24日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labは、米Novetta社を始めとするセキュリティベンダーと連携し、APTグループLazarus（ラザロ）の活動を究明する、Operation Blockbuster（ブロックバスター作戦）の成果を発表します。今回明らかになったLazarusの活動は広範囲にわたり、世界の複数の企業を標的にデータの破壊や諜報活動を展開しています。2014年のSony Pictures Entertainment（SPE）に対する攻撃と、2013年に報道機関や金融機関が標的となったDarkSeoulを主導していたのも同グループとみています。

Kaspersky Labの調査分析チーム（GReAT）^※1は、2014年のSPEが標的となった攻撃に、Destoverマルウェアが使用されたことを発表しましたが、さらなる調査の結果、攻撃の対象は金融、報道、製造などの業界へと広がり、その活動も諜報活動やサイバー破壊活動へと拡大していることがわかりました。

GReATのリサーチャーは、異なるマルウェアファミリーに共通する特徴を基に、数十件に及ぶ攻撃を関連づけ、1つのグループによる犯行であることを究明しました。ブロックバスター作戦に参加した各ベンダーの分析においても、同じ結論が導き出されています。

Lazarusグループの活動はSPEへの攻撃の数年前から始まっており、現在も活動中であると見られています。ブロックバスター作戦により、さまざまな攻撃で使用されたマルウェアのつながりが裏付けられました。ソウルに拠点を置く銀行や報道機関を狙ったDarkSeoulや韓国軍を標的としたOperation Troy、SPEへの攻撃もLazarusの活動に含まれます。

この調査を進める中で、GReATのリサーチャーは米AlienVault Labsと予備調査結果を共有し、共同調査の実施を決定しました。一方、Lazarusグループの活動は、ほかにも多くの企業やセキュリティ専門家が調査しており、その1社であるNovettaは、Lazarusグループの活動を幅広く網羅し、実際の対策に役立つ情報を公開すべく活動を開始していました。

このたびKaspersky Labは、社会のセキュリティ向上に役立てるため、Novetta、AlienVault Labsを始めとするLazarusの共同調査の結果を公表します。

次々に見つかった証拠

ブロックバスター作戦では、さまざまなサイバーセキュリティインシデントで発見された複数のマルウェアサンプルを解析し、特殊な検知ルールを作成することで、多数の攻撃がLazarusグループによって実行されたものであることを突き止めました。

具体的には、同グループがプログラムコードを積極的に再利用していたことです。1つの悪意あるプログラムのコードを、別のプログラムに流用していました。また、異なるペイロードをインストールするドロッパーすべてに、パスワードで保護されたZIPファイル内にペイロードを格納するという類似点も見つかっています。ファイルのパスワードは別の攻撃で使用されたものと同一で、ドロッパーにハードコードされています。このパスワードを保護する目的は、自動システムによるペイロードの抽出と解析を防ぐためと考えられますが、実際にはこれがきっかけとなり、Lazarusグループが特定されました。

さらに、Lazarusが感染システムから存在の痕跡を消去するために使用した特殊な方法や、アンチウイルス製品による検知を逃れるために利用していた手段も、一連の攻撃を結びつける手がかりとなりました。最終的に、これまで実行犯が不明とされてきた数十件の標的型攻撃が、1つのAPTグループにつながりました。

活動の地理的範囲

マルウェアサンプルがコンパイルされた日付を調査した結果、最も古いサンプルのコンパイルは、SPEへの攻撃の5年前の2009年にまで遡り、新規サンプルの数は2010年を境に大幅に増加しています。このことから、Lazarusグループは長期にわたって活動するAPTグループであると考えられます。調査対象のサンプルから抽出したメタデータから判断すると、Lazarusが使用していた悪意あるプログラムの大半は、グリニッジ標準時＋8～9時間のタイムゾーンにおける就業時間中にコンパイルされていることも判明しました。

今回の共同調査について、各セキュリティベンダーのリサーチャーは次のように述べています。

• Kaspersky Lab、GReAT、シニア セキュリティ リサーチャー　ファン・ゲレーロサーデ（Juan Guerrero-Saade）
  「Kaspersky Labがワイパー攻撃の増加を予測していたとおり、その数は着実に増加しており、この種のマルウェアは極めて効果的なタイプのサイバー兵器であることが実証されています。ボタンを押すだけで何千台というコンピューターのデータを消し去る力は、標的企業への偽情報の発信や業務の妨害を任務とするComputer Network Exploitation（コンピューターネットワーク侵入）にとって、非常に有用なものとなります。国家のインフラを麻痺させるために、ワイパー攻撃と物理的な攻撃とを組み合わせたハイブリッド戦争の一部としての価値は、まだ想像の範疇を超えませんが、現実味のある話と言えます。こうした破壊的な技術を積極的に活用しようとする不正なグループの活動に、業界パートナーと協力してダメージを与えられたことを誇らしく思います」
• AlienVault Labs、チーフ サイエンティスト　ジェイミー・ブラスコ（Jaime Blasco）氏
  「この攻撃グループはデータの窃取や業務の妨害をともなう諜報活動を実行するために必要なスキルと決断力を備え、ここ数年にわたりさまざまな活動を成功させています。Operation Blockbusterの業界を横断した情報共有と協力が、攻撃グループの活動の継続を困難にし、阻止することにつながる例といえます」
• Novetta、スレットリサーチ アンド インターディクション グループ シニア テクニカル　ディレクター　アンドレ・ラディック（Andre Ludwig）氏
  「Novetta、Kaspersky Lab、そして私たちのパートナーは、世界に重大な影響を及ぼす攻撃グループの活動をOperation Blockbusterによって阻止し、被害の拡大を抑止するための方法論を確立するために努力を重ねてきました。この連携では、過去に例を見ないほどの詳細な分析が実施されましたが、調査結果を業界パートナーと共有し、参加したすべての企業が理解を深められたという点で、貴重な取り組みであると言えます」

Kaspersky Labの調査結果については、Securelist.comをご覧ください。
Novettaの調査結果については、www.OperationBlockbuster.comをご覧ください。