過去数年間で、各種の標的型攻撃や APT(Advanced Persistent Threat)の背後に存在する集団の活動について、詳しい報告が目に付くようになってきました。シマンテックセキュリティレスポンスは、なかでも特に精鋭と考えられるグループについて監視を続けており、これを Hidden Lynx(謎の山猫)と命名しました。この名前はコマンド & コントロールサーバーとの通信で見つかった文字列に由来します。このグループの貪欲さと機動力は、APT1/Comment Crew といった、よく知られている他のグループと比べても飛び抜けており、次のような特徴があります。
同時に複数の標的に対して長期的に続いている執拗な攻撃活動に、こうした特徴が見て取れます。標的を待ち伏せる「水飲み場型」攻撃の先駆者であり、ゼロデイ脆弱性にもまっ先に目を付けます。そして、真の標的にたどり着くためにまずサプライチェーンに侵入するという、まるで熟練したハンター並の粘り強さも持ち合わせています。サプライチェーン攻撃を仕掛けるには、まず狙った標的組織のサプライヤのコンピュータに侵入します。そのうえで、感染したコンピュータが設置され、応答するのを待ちます。これは間違いなく冷静に計算し尽くされた行動であり、素人の衝動的な思いつきなどではありません。
このグループの攻撃は少数の標的に限定されているわけではなく、さまざまな地域で何百もの組織が同時に狙われることもあります。被害を受けた標的や地域の数と多様さを考えると、このグループは雇われのプロハッカー集団である可能性が高く、クライアントと契約して情報を提供しているものと推察されます。クライアントが望む情報を依頼に応じて盗み出しているため、標的が多様化しているのでしょう。
また、これほどの規模で攻撃を実行するためには、ハッキングに関して相当の専門知識を自在に操れることが必要です。グループにはおそらく 50 ~ 100 人規模の工作員が雇われており、それが少なくとも 2 つ別個のチームに編成され、異なるツールや技術を用いてそれぞれ別の活動に当たっていると考えられます。こうしたタイプの攻撃を実行するには時間と労力が必要であり、ときには攻撃に成功するために事前の調査と情報収集が必要な場合もあります。
このグループでも最前線に立っているのが、基本的ながらも効果的な手口と使い捨てのツールを利用してさまざまな標的を攻撃しているチームです。このチームは情報収集活動にも当たっており、使われているトロイの木馬にちなんで Team Moudoor と呼ばれています。Moudoor はバックドア型のトロイの木馬で、セキュリティ企業による検出を意に介することなく奔放に使われています。これとは別に、特殊作戦部隊のような機能を果たしているチームもあります。かつて、非常に貴重で厳重な標的に侵入したことのあるエリート集団です。このエリートチームは、Naid という名前のトロイの木馬を使っていることから、Team Naid と呼ばれています。Moudoor とは異なり、Naid は検出や捕捉を避けるために非常に慎重に使われています。さながら、絶対に失敗が許されない秘密兵器のようです。
このグループは、2011 年以降少なくとも 6 件の重大な活動に関わっていることが確認されています。特に有名なのが、2012 年 6 月の VOHO 攻撃です。この攻撃で特に注目に値するのは、水飲み場型攻撃の手口が使われたことと、Bit9 社の信頼済みファイル署名インフラが侵害されたことです。VOHO 攻撃の最終的な標的は米国の軍事企業で、そのシステムは Bit9 社の信頼ベースのソフトウェアで保護されていました。その保護機能によって攻撃が遮断されたときに、Hidden Lynx は作戦を見直し、保護をすり抜けるには保護システムの心臓部そのものに侵入して、自分たちの目的に合わせて悪用するのが一番だと気づきます。こうして Hidden Lynx は、Bit9 社に攻撃の目を向け、そのシステムを侵害したのです。侵害を果たした攻撃者は、Bit9 社の保護モデルの基盤であるファイル署名インフラへの侵入路も瞬時に見つけだします。そして、このシステムを使って多数のマルウェアファイルに署名し、さらにその署名済みのファイルを使って最終的な標的への侵入に成功しました。
さらに詳しい情報については、Hidden Lynx グループと、その攻撃活動について解説したホワイトペーパー(英語)を参照してください。
また、多くの被害をもたらしている同グループについて重要な情報をまとめた、以下の解説画像もご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。