チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチは、過去にハマスと関連があったことが判明している脅威グループ「WIRTE」の活動について、スパイ活動と破壊工作の拡大を確認・報告した。
WIRTEは、中東を拠点とするAPTグループであり、ハマスに属する集団であるGaza Cybergangとの関連があると考えられているという。この秘密組織は遅くとも2018年から活動しており、政治的動機に基づくサイバースパイ活動で悪名を馳せ、同地域の複雑な地政学的紛争に絡む情報の収集に重点を置いているとのことだ。同グループの標的は、中東、特にパレスチナ自治政府、ヨルダン、エジプト、イラク、サウジアラビアを拠点とする組織・団体だとされている。
紛争が続く中で、ハマスに関連する他の多くのサイバー活動が停止している一方、WIRTEの活動はさらに拡大しているという。最近では、同グループはスパイ活動にとどまらず、破壊的な作戦を少なくとも2つ、イスラエルに対して実行しているとのことだ。
今回のチェック・ポイント・リサーチの発表では、WIRTEのスパイ活動および新たな破壊活動、ハマスとの関係を検証。一方で、この活動を具体的にガザ地区内部の活動家によるものと断定することには疑問を呈している。
WIRTEのスパイ活動
2023年10月以降、WIRTEに関連して、マルウェアを利用したキャンペーンを複数観測したという。
- 悪意あるRARファイルを利用した複数のスパイ活動を確認。このキャンペーンによってもたらされる初期段階のマルウェアは、被害者が使用しているOfficeおよびOSのバージョン情報、コンピューター名、ユーザー名、インストールされているプログラムのリストなどを攻撃者に送信する。また、より幅広い機能を持つマルウェアによる攻撃がこれに続く可能性が高いと見られるとのこと
- 2024年9月、PDFファイルを感染源とする新たな感染チェーンを発見。このPDFファイルは、高度なサイバー作戦を目的としたオープンソースのフレームワーク、Havocを実装しているとのこと。攻撃者が侵害したシステムへのアクセスを得ると、永続的なシステム制御が可能になり、データの抽出、システム内の水平移動、リモートアクセスなど、様々な悪意あるアクティビティの実行が可能になる
WIRTEの活動範囲が破壊的攻撃へと拡大
2024年10月、サイバーセキュリティ企業ESETの販売代理店のアカウントから、悪意ある電子メールのキャンペーンが開始されたという。この電子メールは、病院や自治体などイスラエルの様々な組織を標的としており、メールの本文には、受信したユーザーのデバイスが国家支援型の脅威アクターに狙われていると主張する内容が書かれているとのことだ。
また、メールには、脅威に対する保護プログラムのインストールを謳うURLへのリンクが含まれていたという。しかし、このURLのリンク先はコンピューターやネットワーク上のデータを消去または破損することを目的としたワイパー型マルウェアだったとのこと。情報窃取や、身代金目的のデータ保持を目的とする他のマルウェアと異なり、ワイパーは破壊を引き起こすことに特化し設計されている。
このキャンペーンで確認されたワイパー型マルウェアは、以前報告されたSameCoinワイパーの最新版だとしている。2024年初頭には、イスラエル国家サイバー局(INCD)になりすました悪質なキャンペーンでも使用されたとのことだ。SameCoinは、AndroidとWindowsで利用可能なマルチプラットフォームのワイパーで、いずれのケースでもINCDからのセキュリティアップデートを装っていたという。
10月に行われたキャンペーンでは、メール内のURLをクリックすることで感染チェーンが始まり、ある時点で被害者は悪質なファイルへと誘導される。この悪質なファイルは、イスラエルの民間防衛軍(Home Front Command)のサイトにアクセスを試みるとのこと。このサイトはイスラエル国内からのみアクセス可能なため、これにより被害者がイスラエル人であることを確認するのだという。その後、マルウェアは以下のファイルを復号化して実行するとしている。
- ハマスの軍事部門、カッサム旅団に言及する壁紙
- 10月7日からの攻撃を紹介する、ハマスのプロパガンダ映像
- コンピューターやネットワーク上のデータを消去または破損するよう設計されたワイパー型マルウェア
- 同じ組織内の他の複数のアドレスに添付ファイルを送信し、同じネットワーク内の他のコンピューターにワイパーファイルをコピーするインフェクターコンポーネント
脅威アクターWIRTEの活動の背後にハマスがいる可能性
破壊的な攻撃におけるキャンペーンの発信内容と、ハマスの政敵であるパレスチナ自治政府(PA)を一貫して焦点としている点は、長年にわたり明らかにされた複数の歴史的な経緯と合わせ、WIRTEとハマスにつながりがあることを示しているという。
ハマスの軍事部門であるカッサム旅団に関連する画像が使用されている事実は、偽旗作戦を示唆している可能性もあるとのことだ。しかし、イランの派閥を含む他のグループの攻撃では、このような言及は見られないという。WIRTEのターゲット戦略は、特にパレスチナ問題に関して、ハマスの利益と密接に連携しているそうだ。加えてWIRTEは、MoleratsやGaza Cybergangなどハマスとつながりのあるグループと関係してきた歴史があり、WIRTEとハマスが関連している可能性を強めているとのことだ。
中東における破壊と諜報の二重戦略
WIRTEは一貫して中東全域の様々な団体を標的にしており、ファイル送信、ルアー、ドメインの参照など、彼らの活動を示す指標から、レバノンやイラク、サウジアラビア、エジプトとの関わりも示唆されているという。プロパガンダの内容やテーマは、イスラエルの受信者に向けたフィッシングメールとともに、イスラエルのターゲットに特化していたとのこと。加えて、ワイパーはターゲットの国がイスラエルである場合、またはシステム言語がヘブライ語に設定されている場合にのみ作動するのだという。
イスラエルへの攻撃で使われた様々なテクニックやペイロードからは、他の中東諸国を狙ったものとは対照的に、興味深く複雑な戦略が浮かび上がると同社。ここには2つの重要な目標があると推測している。1つはイスラエル国内を混乱させること、もう1つは近隣諸国をターゲットとしたスパイ活動だとしている。この二重のアプローチは、地域紛争の複雑な力学と、関係者間の優先順位の違いを浮き彫りにしているとのことだ。
【関連記事】
・チェック・ポイント、AIエンジンによるゼロデイ脅威のブロックなど50以上の新機能を発表
・チェック・ポイント、Harmony SASE上で生成AIによるアシスタントのプレビュー版を提供
・チェック・ポイント、Google Apps Script悪用のフィッシング攻撃確認 現在も攻撃継続中
