[本リリースは、2016年8月8日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
2015年9月、Kaspersky Labの調査分析チーム(GReAT)※1 が、標的型攻撃対策プラットフォーム「Kaspersky Anti-Targeted Attacks Platform」※2 を導入している組織で検知された異常を調査したところ、国家が支援すると考えられるサイバー犯罪グループ「ProjectSauron」による攻撃であることがわかりました。これまでこのグループの標的となった組織は、政府、軍、科学研究機関、通信事業者、金融機関など30を超えており、その多くがロシア、イラン、ルワンダに拠点を置いています。また、イタリア語が話される国も攻撃対象になっているとみられ、今後、ProjectSauronによる影響は、さらに多くの組織と地域に及ぶものと考えられます。
2011年6月に始まったProjectSauronの活動は、現在も継続中です。標的ごとに異なるツール群を使って攻撃するため、従来の脅威存在痕跡(IOC)ではほとんど発見することができません。攻撃にかけるコスト、複雑さ、執拗さ、そして国の重要機関から機密情報を窃取するという活動から、ProjectSauronは国家が関与または支援するグループであり、攻撃の目的は主にサイバースパイ活動とみられています。なお、感染経路については詳しいことはまだわかっていません。
ProjectSauronは、独自のツールや手法を組み込んだ高度なモジュール型サイバースパイプラットフォームを使用し、暗号化された通信の窃取を狙います。特徴として、決まった手法を意図的に避け、標的ごとに利用するマルウェアとインフラをカスタマイズし、それらを再利用することは決してありません。さらに、窃取したデータの持ち出しに正規のメールやDNSなど複数のルートを使うことで、標的ネットワークに対するスパイ活動を秘密裏に長期間にわたって行うことを可能にしています。これまでGReATが発見した「Duqu」「Flame」「Equation」「Regin」といった、他の極めて高度なサイバー犯罪グループの最も革新的な手法を取り入れ検知を回避しているものとみられ、ProjectSauronは極めて高度な攻撃者グループと考えられます。
Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、ヴィタリー・カムリュク(Vitaly Kamluk)は次のように述べています。「現在、多くの標的型攻撃では、簡単に入手可能な低コストのツールが利用されています。ProjectSauronは対照的に、自前で開発した信頼性の高いツールとスクリプト化されたカスタマイズ可能なコードを利用します。コントロールサーバーや暗号鍵などの独自のインジケーターを一度しか使わない点や、他の大規模脅威グループの最先端の手法を採用している点ではかなり新しいと言えます。このような脅威を防御するには、幾重にもわたるセキュリティ層を築くほかありません。その基盤となるのが、組織のワークフロー内のごく軽微な異常を検知するセンサー群であり、これを脅威インテリジェンスとフォレンジック分析によって増強し、一見、皆無と思えるパターンを見つけ出す必要があります」
Kaspersky Labのセキュリティエキスパートは組織に対し、ITネットワークとエンドポイントの徹底的な監査に着手するとともに、以下の対策を実施するよう推奨しています。
カスペルスキー製品は、ProjectSauronが使用するマルウェアを次のとおり検知し、ブロックします。HEUR:Trojan.Multi.ProjectSauron.gen
IOC(Indicators of Compromise)とYARAルールを含むProjectSauronの詳細については、Securelistをご覧ください。また、Kaspersky Lab APT Intelligenceレポートサービスでは、ProjectSauronの詳細レポートを提供しています。
※1 GReATについて
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2 Kaspersky Anti-Targeted Attacks Platform
ネットワークセンサー、エンドポイントセンサー、サンドボックスとAPTアナライザーを備えた標的型攻撃対策プラットフォーム(日本では2016年内に提供開始予定)