先日 WikiLeaks が公開した機密文書 Vault 7 には、スパイツールや運用プロトコルも詳しく記されており、それが 16 カ国 40 以上の標的に対するサイバー攻撃で使われていることが判明しました。この実行グループを、シマンテックは「Longhorn」と呼んでいます。これまで 3 年間にわたり、シマンテックは Longhorn グループのツールからお客様を保護するとともに、そのツール、戦術、手順をさらに詳しく知ろうと、Longhorn の追跡を続けてきました。
Longhorn が使うツールは、WikiLeaks が公開した文書に記されている開発タイムラインと技術仕様にほぼ正確に従っています。Longhorn グループは、検出のすり抜けに関して漏えいしたガイドラインに従っているほか、Vault 7 文書に示されていたのと同じ暗号プロトコルの一部も共有しています。ツールと手口の間にかなりの類似性が認められることを考えると、Longhorn の活動と Vault 7 文書に書かれた内容が同じグループの手によるものである可能性は、きわめて濃厚になりました。
Longhorn グループの正体
Longhorn は、遅くとも 2011 年には活動を開始しています。バックドア型のさまざまなトロイの木馬を使い、ゼロデイ脆弱性も悪用して、標的に侵入しました。Longhorn は、政府や国際的な活動組織に侵入するほか、金融、通信、エネルギー、航空、情報技術、教育、天然資源などの業種も狙っています。狙われた組織は、国家に関わる攻撃者の関心を引くものばかりです。
Longhorn グループの攻撃を受けた標的は、中東、ヨーロッパ、アジア、アフリカの少なくとも 16 カ国で 40 件に及んでいます。米国のコンピュータが侵入を受けたケースも 1 件ありましたが、感染から数時間後にはアンインストーラが実行されており、この被害者が感染したのは偶然だったようです。
[click_to_tweet:1]
Vault 7 との関連性
WikiLeaks によって公開された文書の多くに、マルウェアツールの仕様や要件の概略が掲載されていました。ある文書には、Fluxwire と呼ばれるマルウェアの開発タイムラインが載っており、新しい機能を追加した日付の変更ログも含まれています。その日付は、シマンテックが追跡している Longhorn のツール(Trojan.Corentry)の開発とほぼ一致しました。Corentry の新しい機能が、Vault 7 の文書に載っているのと同日か数日後には、シマンテックで捕捉されるサンプルに必ず出現するのですから、公開された文書に書かれているマルウェアが Corentry であることは、ほぼ疑いの余地がありません。
シマンテックが確認している初期バージョンの Corentry では、Fluxwire のプログラムデータベース(PDB)ファイルへのパスが参照されていました。Vault 7 の文書には、バージョン 3.5.0 で実装された変更のひとつとして、PDB のフルパスを削除した記録があります。
2014 年まで、Corentry の各バージョンは GCC を使ってコンパイルされていました。Vault 7 文書によると Fluxwire は 2015 年 2 月 25 日のバージョン 3.3.0 から、コンパイラを MSVC に切り替えています。これが Corentry のサンプルにも反映されており、同じ 2015 年 2 月 25 日にコンパイルされたバージョンは、コンパイラとして MSVC が使われていました。
| Corentry のサンプル(MD5 ハッシュ) |
サンプルのコンパイル日時 |
組み込まれている Corentry のバージョン番号 |
Corentry のコンパイラ |
Vault 7 での変更ログ番号 |
Vault 7 での変更ログの日付 |
| N/A |
N/A |
N/A |
N/A |
2.1.0 - 2.4.1 |
2011 年 1 月 12 日 - 2013 年 2 月 28 日 |
| e20d5255d8ab1ff5f157847d2f3ffb25 |
2013/08/23 10:20 |
3.0.0 |
GCC |
3.0.0 |
2013 年 8 月 23 日 |
| 5df76f1ad59e019e52862585d27f1de2 |
2014/02/21 11:07 |
3.1.0 |
GCC |
3.1.0 |
2014 年 2 月 20 日 |
| 318d8b61d642274dd0513c293e535b38 |
2014/05/15 09:01 |
3.1.1 |
GCC |
3.1.1 |
2014 年 5 月 14 日 |
| N/A |
N/A |
N/A |
N/A |
3.2.0 |
2014 年 7 月 15 日 |
| 511a473e26e7f10947561ded8f73ffd0 |
2014/09/03 00:12 |
3.2.1 |
GCC |
3.2.1 |
2014 年 8 月 18 日 |
| c06d422656ca69827f63802667723932 |
2015/02/25 16:50 |
N/A |
MSVC |
3.3.0 |
2015 年 2 月 25 日 |
| N/A |
N/A |
N/A |
N/A |
3.3.1 -> 3.5.0 |
2015 年 5 月 17 日 -> 2015 年 11 月 13 日 |
表. Corentry のバージョン番号およびコンパイル日と、Vault 7 で公開されている Fluxwire のバージョン番号および変更ログの日付
Vault 7 の 2 つ目の文書には、Fire and Forget が詳しく記されています。Fire and Forget は、Archangel というツールが用いるペイロードのユーザーモードインジェクションの仕様です。このペイロード仕様と、それを読み込む際に使われるインターフェースが、Longhorn で使われる Backdoor.Plexor というツールでもほぼ一致しています。
3 つ目の文書は、マルウェアツールが従うべき暗号プロトコルの概要です。中間者(MITM)攻撃を防ぐために SSL で使われる内部暗号や、接続ごとに 1 回ずつの鍵交換、32 バイト鍵での AES の使い方なども、これに規定されています。こうした要件も、シマンテックが Longhorn のツールすべてで確認している暗号の使い方と一致していました。
そのほか、Vault 7 の文書にはスパイ活動の常套手段が載っています。コマンド & コントロール(C&C)サーバーとの通信には RTP(Real-time Transport Protocol)を使うとか、標準の手順として使用時即消去(wipe-on-use)を採用する、インメモリ文字列で不明瞭化を解除する、展開時に重複のないキーを利用して文字列を不明瞭化する、リネームや上書きなど安全な消去プログラムを使うといったことです。シマンテックは、Longhorn のツールでもこのような手法がすべて守られていることを確認しています。他のマルウェアファミリーも、こうした手段の一部を利用することは知られていますが、Longhorn でここまで多くの点が踏襲されているという事実は、注目に値します。
グローバルな攻撃規模: Longhorn の活動
Longhorn グループは、少なくとも 2011 年から活動していると言いましたが、古くは 2007 年までその活動をさかのぼれるとする証拠もあります。シマンテックが初めて Longhorn に注目したのは 2014 年、Word 文書に埋め込まれたゼロデイ脆弱性(CVE-2014-4148)を悪用して、標的を Plexor に感染させたときのことでした。
Plexor は、巧妙なサイバースパイ集団の特徴をすべて備えています。ゼロデイ脆弱性を利用できるほか、標的の環境をあらかじめ知っているとしか考えられない要素が、Plexor にはあらかじめ設定されていたからです。
現在までにシマンテックは、Longhorn が 16 カ国にまたがる 40 の組織を狙って活動していた証拠をつかんでいます。シマンテックが確認した範囲で、Longhorn が標的に対して利用してきたマルウェアは、Corentry、Plexor、Backdoor.Trojan.LH1、Backdoor.Trojan.LH2 の 4 種類です。
マルウェアを標的に向けて拡散する前に、Longhorn グループは標的に固有のコードネームと思しき文字列や、攻撃者との通信に用いる個別の C&C ドメインおよび IP アドレスをあらかじめ設定します。Longhorn のツールにはコードネームが大文字で埋め込んであり、内部的にはそれが "groupid" および "siteid" として参照されています。これは、攻撃活動と被害者を識別するための情報のようです。こうした識別情報は 40 件以上が確認されており、映画や登場人物、食べ物、音楽などがテーマになっています。たとえば、ロックバンド「ポリス」を示す符丁として、REDLIGHT、ROXANNE というコードネームが使われていました。
Longhorn グループが使うマルウェアには、侵入先のコンピュータをリモート制御するためのコマンドが数多く用意されています。マルウェアのほとんどは、プラグインやモジュールを追加するカスタマイズに対応しており、その一部はシマンテックでも確認されました。
Longhorn が使うマルウェアは、スパイ型の活動に特化して作られているようで、詳しいシステムのフィンガープリンティング、検出、情報抜き取りの機能を備えています。動作上のセキュリティはきわめて高く、外部との通信は限定的なタイミングでしか行われません。盗み出したデータのアップロードには制限があり、通信の間隔もランダム化されます。すべて、侵入中に検出されるのを逃れるための対策です。
C&C サーバーについては、標的ごとに個別のドメインと IP アドレスを組み合わせて指定するのが Longhorn の常套手段です。ドメインは、攻撃者が登録したもののようですが、プライバシーサービスを利用して、本当の身元を隠しています。IP アドレスは通常、仮想プライベートサーバー(VPS)または Web ホスティングサービスを提供している正規の会社が所有するアドレスです。マルウェアは HTTPS 上で C&C サーバーと通信しますが、そのとき使われるのは、カスタムの暗号プロトコルであり、通信の特定を妨げようとしています。
Vault 7 が暴露されるまで、Longhorn は潤沢なリソースを持ち、諜報収集機関に関与している組織であるというのがシマンテックの評価でした。これは、標的が全世界に広がっており、念入りに開発された多様なマルウェアとゼロデイ脆弱性を利用していることに基づく判断です。タイムスタンプやドメイン名登録日から推測すると、Longhorn グループの活動時間は標準的な平日、月曜日から金曜日と考えられます。これは、国家が後押しするグループによく見られる傾向です。
シマンテックが解析したところ、Longhorn グループの出自は英語圏であり、北米大陸の国であると示唆する点も数多く見つかりました。MTWRFSU(月曜、火曜、水曜、木曜、金曜、土曜、日曜)という略語は、マルウェアが攻撃者と通信する曜日を設定するために使われていますが、これは北米の学校関係でよく使われる略語です。マルウェアで確認されるコードネームのうち、SCOOBYSNACKというのも、北米でよく知られた名前です(マンガに登場する架空の食べ物 Scooby Snack から)。しかも、信頼性の高いタイムスタンプを見ると、ツールのコンパイル時刻は米国のタイムゾーンであることがわかります。
決定的なフィンガープリント
Longhorn グループは、高度なマルウェアツールとゼロデイ脆弱性を利用して、全世界の標的に次々と侵入しています。Longhorn が用いるツール、手法、手順の組み合わせは、まぎれもなくこのグループに固有であり、Vault 7 との関連性にほぼ疑いの余地はありません。
Longhorn の調査を進めるなかで、シマンテックが優先したのは、何よりもお客様の安全です。Longhorn が使う一連のマルウェアを特定し、それを 1 つのグループに結び付けたうえで、グループの手口や手順について詳しく把握してきたことで、シマンテックが Longhorn や類似の脅威からお客様の組織を保護する体制は、さらに盤石なものになりました。こうして新しい情報をお届けする場合でも、お客様にご安心いただきたいというシマンテックの目標は変わりません。シマンテックはこの脅威を十分に認識しており、お客様の保護に邁進していく所存です。
保護対策
シマンテックとノートンの製品をお使いであれば、以下の検出定義によって Longhorn のマルウェアから保護されています。これまでの数年も、今後も同様です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】