平昌冬季オリンピックで暴れたOlympic Destroyerは誰だったのか
カスペルスキーのグローバル調査分析チームGReAT(Global Research & Analysis Team)はサイバー攻撃グループを追跡するなど、脅威の情報収集や調査研究を行っている。オーストラリアを拠点にリバースエンジニアリングと標的型攻撃の調査を担当しているノーシン・シャバブ氏が、直近の高度なサイバー攻撃について攻撃グループごとに動きを解説した。
カスペルスキー グローバル調査分析チーム、シニアセキュリティリサーチャー ノーシン・シャバブ氏
まずシャバブ氏が挙げたのが北朝鮮の関与が疑われているLazarusと、そのサブグループのBluenoroff。サイバー攻撃グループとしてはすっかり有名だ。2018年にはトルコの金融機関、南米のカジノ施設ほか、金融機関から仮想通貨取引所など、金銭目的の攻撃を継続している。
続けて「非常に活発だった」とシャバブ氏が挙げるのがScarCruft(Group123 / Reaper)。ゼロデイエクスプロイトを用いた韓国への攻撃、Androidマルウェアを用いた韓国企業製(サムソン)スマートフォンユーザーへの攻撃、新たなバックドア攻撃など、高度な攻撃を展開している。
ロシア語圏で活動が目立つのがTurlaやLightNeutron。前者は新しいCarbonインプラントや新しいPhoenixフレームワークで標的内部で活動する。後者はExchangeサーバーの新しいバックドアを用いて中央アジアや中東の標的を攻撃した。外交関係や大使館を狙ったと見られる。
平昌冬季オリンピックに被害をもたらしたOlympic Destroyerも忘れてはならない。マルウェアによりオリンピックシステムに障害が発生し、チケット印刷ができなくなるなどの支障が出た。コードの類似性から一時はLazarusの関与が疑われたが、結局は偽旗で、Lazarusに見せかけただけだった。攻撃手法を綿密に解析したところ、攻撃グループはSofacyではないかという結論に至っている。Sofacyはもともと欧米を標的とするグループだったが、最近アジアへとシフトしている。
Olympic Destroyerの攻撃グループはオリンピック終了後も標的を変えて活動を継続しており、カスペルスキーは攻撃グループ名を新たに「Hades」と呼ぶことにして、調査を続けている。
シャバブ氏は企業に向けた推奨事項として、企業で使用するアプリケーションのホワイトリスト化(安全性が確かなものだけを利用する)、パッチ適用(もれがないように)、Microsoft Officeのマクロ設定(信頼できるファイルのマクロのみ有効とする)、ユーザーアプリケーションで不必要なポートは閉じるなどを挙げた。
