I Smell a RAT! New Cybersecurity Threats for the Crypto Industry
2021/07/09 DarkReading — ブロックチェーンを利用した暗号通貨は安全であると考えられている。ブロックチェーンは、ノードと呼ばれるコンピュータのグローバル・ネットワークを使って分散化されるように設計されており、ブロックチェーンをハッキングして改ざんするには、膨大なコンピューティング・パワーが必要になる。また、ブロックチェーンの暗号化を解除するだけではなく、大多数のノードも同時に変更する必要がある。
しかし、ブロックチェーン自体は安全であっても、デジタル通貨の保有者がサイバー犯罪者や悪意の企てから逃れられるわけではない。今年の初めに、サイバー・セキュリティ企業 である Intezer は、暗号化されたユーザーのデジタル・ウォレットの秘密鍵を盗むことを目的とした、精巧で巧妙なキャンペーンを発見した。Intezer は、この企てを Operation ElectroRAT と名付けた。
ElectroRAT は、多くのサイバー攻撃と同様に、トロイの木馬プログラムを使って個人を騙し、コンピュータ・システムを危険にさらすマルウェアをダウンロードさせる。トロイの木馬は、一見すると正規のソフトウェアのように見えるが、ユーザーの知らないうちに有害な動作を行うプログラムのことである。密かに行動するために、トロイの木馬は時間をかけて動作し、攻撃が進むにつれて徐々に高い権限を獲得していく。
ElectroRAT の “RAT ” は、”Remote Access Trojan” を意味する。攻撃者によるリモート・アクセスが可能になると、キーストロークの記録/スクリーンショットの撮影/ハード・ドライブからのファイルのアップロード/コンピュータ上でのコマンドの実行などを許すようになってしまう。サイバー犯罪者は、このアクセスにより、理論上、ユーザーのデジタル・ウォレットの秘密鍵を侵害することができる。
ほとんどのサイバーセキュリティの専門家が証言するように、この種のトロイの木馬による攻撃は、通常とは異なるものだ。そして、ElectroRAT のスキームには、単なるサイバー攻撃と異なる違ういくつかの特徴がある。最近の SolarWinds の侵入事件と同様に、ElectroRAT のトロイの木馬は、ドライブバイ・ランサムウェアの攻撃よりもはるかに洗練されており、長い時間をかけて計画されたものだ。
そのうちの2つは、暗号通貨取引プラットフォームを名乗り、もう2つはユーザーが暗号トークンを使って賭けをすることができるポーカーアプリを装っていた。また、Windows / Linux / macOS 向けに、3種類のマルウェアを作成している。通常、マルウェアは Windows ベースのコンピュータを標的にしているため、この点は注目に値する。この RAT は、Go (Golang) と呼ばれるコンピュータ・プログラミング言語で書かれている。Intezer は、攻撃者が Golan gを選択したのは、他のプラットフォームに対してプログラムを移植しやすいからだと指摘している。
これらの特徴は、サイバー・セキュリティの専門家にとって、アカデミックな観点から興味深いものとなる。しかし、類似するサイバー攻撃と異なるのは、ElectroRAT アクターがソーシャル・エンジニアリングとトロイの木馬を組み合わせて使用していたことだ。攻撃者は、暗号通貨フォーラムでアプリを宣伝することで、暗号コミュニティのメンバーにフォーカスした。さらに、ソーシャル・メディアのインフルエンサーに対価を支払い、自分たちのフェイク暗号取引プラットフォームについてツイートしてもらい、時間をかけてプロ並みの Web ページを作成した。これらの一連の活動に加えて、アプリを妥当なものに見せかけ、ユーザーを騙してダウンロードさせることで、マルウェアに正当性を持たせたのだろう。
Operation ElectroRAT は、2020年1月から活動していた可能性があり、1年近く発見されなかったことになる。Intezer は、このマルウェアの被害者が 6,000人以上になる可能性があると推定している。ひとつ重要なポイントがある。ElectroRAT はゼロから作成されたため、従来のシグネチャベースのアンチウイルス・ソフトウェアでは検出されない。このマルウェアは個人を標的としているが、この攻撃者の成功は、今日のサイバー・セキュリティ環境において、暗号通貨の取引所/ウォレット /証券会社などのサービスを提供する企業に対する脅威が。ますます巧妙になっていることを浮き彫りにしている。
前述のとおり、ブロックチェーンのセキュリティは強固であり、攻撃を成功させることは不可能か、きわめて困難なことである。そのため、サイバー犯罪者は、ブロックチェーンに接続するエンドポイントを標的にする。これらのエンドポイント (証券会社/取引所/ウォレット) への攻撃は、技術的な攻撃/人的な攻撃/物理的な攻撃の、3つの大まかなカテゴリーに分類され、単独でも組み合わせても使用することができる。
ElectroRAT は技術的な攻撃であり、そこに人的攻撃である、高度なソーシャル・エンジニアリング・キャンペーンを組み合わせた典型的な例となる。人的攻撃とは、ソーシャル・エンジニアリングを利用して被害者を説得し、詐欺師に個人情報やシステムへのアクセス権を開示させるものだ。ソーシャル・エンジニアリングによる詐欺の一つに、暗号取引所に電話をかけ、従業員のふりをして技術情報の提供を求めるという、シンプルかつローテクなものがある。
また、攻撃者がユーザーになりすましてパスワードや電話番号をリセットし、正当な所有者を締め出し、すべてを盗み出すこともある。また、一見すると合法的に見える電子メールを使って、証券会社の社員やユーザーを騙し、マルウェアをダウンロードさせるフィッシング攻撃も行われる。物理的な攻撃は稀だが、実際には起こり得る。これは、自宅やオフィスに侵入して、暗号通貨のコールド・ストレージ/オフライン・ウォレット/認証コード/パスワードなどを盗み出すことなどが挙げられる。
この記事は、悪質なスキームに対する最善の防御策は、知識を得ることだと述べています。まず、ソーシャル・エンジニアリングの手法/フィッシング詐欺の手口/制限されたエリアにいる人々への接触の手口などについて、従業員を教育する必要があります。次に、定期的にテストを行い、どこに問題があるのかを判断し、さらにトレーニングを行うことが重要だと述べています。昨年に、暗号通貨ファンドに $5 billion 以上が投資されたことで、この急速に成長しているエコシステムを、サイバー犯罪者たちは標的にし始めています。このように多くの問題を抱えているため、暗号分野の企業は、セキュリティ装置のギャップを理解し、修復しなければなりません。
IoT OT Security News 