2019年2月8日

Kaspersky Lab、サイバー犯罪組織「Sofacy」と「GreyEnergy」のインフラ共有を発見  ~ロシア語話者の関与が疑われる2つの組織が、同時期に同じサーバーを利用~

ロシア語話者のサイバー犯罪組織「BlackEnergy」の後継とみられる「GreyEnergy」とサイバースパイ組織「Sofacy」が、目的は異なるものの同時期に同じサーバーを攻撃に利用していました。

[本リリースは、2019年1月24日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのエキスパートは、サイバー犯罪組織「BlackEnergy」の後継とみられる「GreyEnergy」とサイバースパイ組織「Sofacy」の攻撃の共通点を特定しました。目的は異なるものの、どちらも同時期に同じサーバーを攻撃に利用していました。

サイバー犯罪組織BlackEnergyとSofacyは、近年のサイバー脅威における2大組織と考えられており、これまでにも、両者の活動の多くが国家レベルの大きな被害をもたらす原因となっています。2015年、BlackEnergyはウクライナの複数のエネルギー施設を攻撃し、大規模な停電を引き起こしました。これは史上最悪のサイバー攻撃のひとつに数えられています。Sofacyは、米国や欧州の政府機関や国家安全保障局、国家情報機関をターゲットに複数の攻撃を仕掛け、大きな損害を与えました。
これまでもBlackEnergyとSofacy の関係性は疑われてきたものの、確証がありませんでした。しかし、今回、BlackEnergyの後継とみられるGreyEnergyが、ウクライナの産業や重要インフラへの攻撃で使用したマルウェアが発見され、その構造上におけるBlackEnergyとの強い類似性が明らかになりました。

Kaspersky Labで産業システムに対する脅威の調査を担当するICS CERT部門は、GreyEnergyとSofacyが、2018年7月の同時期にウクライナとスウェーデンにある2つのサーバーを使用していたことを突き止めました。GreyEnergyは、これらのサーバーにフィッシング攻撃で使用する悪意あるファイルを保存していました。フィッシングメールに添付されたテキストドキュメントをユーザーが開くと、この悪意あるファイルがダウンロードされる仕組みです。一方で、Sofacyはこのサーバーを独自のマルウェアの指令サーバーとして使っていました。両組織がこれらのサーバーを同時に使っていたのは比較的短期間でしたが、1週間のうちに両組織が同じ企業にスピアフィッシングメールを送っていたこと、また、どちらの組織もカザフスタン共和国のエネルギー省を装ったフィッシングメールを使用していたことが裏付けとなりました。

Kaspersky Lab、ICS CERTのセキュリティリサーチャー、マリア・ガルナエヴァ(Maria Garnaeva)は次のように述べています。「これら2つのサイバー犯罪組織が同じインフラに侵入し、共用していたということは、彼らがロシア語話者であるという共通点のみならず、協力関係にある可能性が考えられます。また、彼らの協業能力がわかったことから、今後の攻撃の目的や標的をより明確に推測できるようになります。今回の発見によって、サイバーセキュリティ業界がGreyEnergyとSofacyによる戦略、技法、手口についてより理解を深めることで、高度な攻撃からもお客様を保護できるようになります」

■ 参考情報

・当レポートの全文は、Kaspersky Lab ICS CERTサイトの「GreyEnergy's overlap with Zebrocy」(英語)をご覧ください。
・2018年3月15日発表のプレスリリース
Kaspersky Lab、サイバースパイ組織「Sofacy」が攻撃の矛先を変え、アジアの防衛や外交組織を標的としていることを確認