ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている

Russian Federal Agencies Were Attacked With Chinese Webdav-O Virus

2021/08/04 TheHackerNews — 2020年に発生した、ロシアの連邦行政機関に対する一連の標的型攻撃の背後には、中国の国家支援型脅威グループが存在していた可能性がある。シンガポールに本社を置く Group-IB が発表した最新の調査結果によると、その時の侵入で検出された Webdav-O と呼ばれるウイルスについて、BlueTraveller トロイの木馬との間に類似点があると指摘されている。

このトロイの木馬は、TaskMasters という中国の脅威グループのものとされ、機密文書の窃取やスパイ活動などを目的として運用されたと推測される。研究者である Anastasia Tikhonova と Dmitry Kupin は、「中国には多数の APT グループが存在し、どれもが攻撃的だ。ハッカーたちの主な狙いは、国家機関および、産業施設、軍事関連企業、研究機関などとなる。目的はスパイ活動であり、攻撃者は機密データにアクセスし、自分の存在をできるだけ長く隠そうとする」と述べている。

このレポートは、2021年5月に Solar JSOCSentinelOne から公開された多数の開示に基づいており、この両者により Mail-O と呼ばれるマルウェアが開示されている。それは、ロシア連邦行政当局のクラウド・サービス Mail.ru への攻撃でも観察され、脅威アクター TA428 が使用する PhantomNet または SManager という悪意のソフトウェアの亜種だと、SentinelOne は結び付けている。Solar JSOC は、「ハッカーの主な目的は、IT インフラを完全に侵害し、閉鎖されたセグメント内の文書や、連邦行政機関の主要な電子メールなどの機密情報を盗むことだった。サイバー犯罪者は、正規のユーティリティーもしくは、検出不可能なマルウェアを使用し、政府機関に設置されている情報保護ツールの機能の詳細を深く理解することで、高い機密性を確保していた」と付け加えている。

Group-IB の分析は、2019年11月に VirusTotal にアップロードされた Webdav-O サンプルと、Solar JSOC が詳述したマルウェア・サンプルの、共通点を中心に行われた。研究者たちによると、後者の方が新機能が追加され、部分的に修正されたバージョンであるとのことだ。また、検出された Webdav-O のサンプルは、ソースコードの類似性やコマンドの処理方法などを理由に、BlueTraveller トロイの木馬と関連づけられた。さらに、TA428 のツールセットを調査したところ、BlueTraveller と Albaniiutas の間に、数多くの共通点が発見された。後者の方は、2020年12月に、このキャンペーンが始まったときの初期型のマルウェアである。

研究者たちは、「中国のハッカー・グループ同士が、ツールやインフラを積極的に交換していることは注目に値する。おそらく、今回も同じだろう。つまり、1つのトロイの木馬を、異なるレベルの訓練を受けた、異なる部署のハッカーたちが、それぞれの目的に応じて、設定/変更できることを意味する。2020年に、中国のハッカー・グループである TA428 と TaskMasters が、ロシアの連邦行政機関を攻撃したと推測できる。また、異なるユニットから構成される、単一の中国ハッカー・グループが存在するとも推測できる」と述べている。

ロシアと中国の間には、サイバー攻撃に関する軋轢は無いのかと思っていましたが、こんな事件があり、また、その解析が進んでいるようですね。このブログでは、Webdav-O は明らかに初登場ですし、BlueTraveller も TaskMasters も TA428 も初めてだと思います。ひょっとすると、欧米諸国をターゲットにする活動とは、まったく別のユニットが組織化されているのかもしれません。国も個人も、ある種の性悪説にたって物事も見ていくことが、インターネットの世界の常識です。

%d bloggers like this: