White Company: Operation Shaheen - 新しい脅威アクターによるスパイ活動の内情

By Cylance Research and Intelligence Team

本ブログ記事は、2018年11月12日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

サイランスの脅威インテリジェンスチームは、国家の関与が疑われる全く新しい脅威アクターを発見し、本日、詳細な調査レポートを公開しました。この脅威アクターは、活動の証拠をすべて消し去って(ホワイトウオッシュ)、アトリビューションを免れようと数々の巧妙な手段を講じていることから、「White Company – ホワイトカンパニー」と命名しました。

調査レポートでは、このグループの最近の活動の1つである、パキスタン政府と軍、特にパキスタン空軍を狙った1年に及ぶスパイ活動について詳しく解説しています。

サイランスは、このキャンペーンを「Operation Shaheen – オペレーション・シャヒーン」と命名しました。

White Companyプロジェクトのレポートは3章で構成されます。脅威アクターとその作戦についての洞察を明らかにするため、新たに包括的な脅威インテリジェンス調査アプローチを適用し、詳細な技術的調査にわかりやすいストーリーを組み合わせています。

技術面に関する2つの章では、使用されたエクスプロイトキット、マルウェア、インフラストラクチャを深く掘り下げています。これらは、ドアを開ける鍵と、内部情報を盗み出すために用いられたツールにあたるものです。第3章では、このキャンペーンがいかにして実行されたかを解説し、技術的な調査結果を地政学的観点から捉え、なぜこのキャンペーンが重要であるかを、読みやすく理解しやすい言葉で説明します。

レポート全文のダウンロードはこちら

調査から判明した事実

サイランスの調査により、既存のいわゆるAPTグループのいずれにも合致しないプロファイルを持つ、国家の関与が疑われる新たな脅威アクターを特定、追跡できました。サイランスが明らかにしたプロファイルは、既知のグループ(米国、ファイブアイズ、インド、ロシア、中国、北朝鮮、イラン、イスラエル)のいずれのプロファイルにも似ていません。

White Companyは相当なリソースを自由に使える状態にあり、ここから国家主導のグループであることがうかがえます。 サイランスは、White Companyが以下を保有していることを示す証拠を突き止めました。

◦ゼロデイエクスプロイトの開発者にアクセスできること、およびゼロデイエクスプロイトにアクセスできる可能性

◦自動化された複雑なエクスプロイト構築システム

◦ミッション固有のニーズを達成するためにエクスプロイトを変更、洗練、進化させる能力

◦高度な標的偵察能力

White Companyは、少なくとも8つのアンチウイルス製品(Sophos、ESET、Kaspersky、BitDefender、Avira、Avast!、AVG、Quick Heal)を標的にして効果的に回避した上で、各製品がその所有者に敵対するよう仕向けるという、Cylanceが初めて遭遇する脅威アクターです。このためにWhite Companyは、特定の日に意図的に各製品によって捕捉されることによって、標的のリソースを混乱させて対応を遅らせ、注意を逸らします。

アンチウイルスの回避は、White Companyがアトリビューションを免れるために用いる数多くの手法の1つに過ぎません。サイランスが発見した手法には、他にも次のようなものがあります。

  • エクスプロイト内部:マルウェアがアナリストや調査担当者のシステムに配置されたかどうかを確認する4種類の方法、Wordをクリーンアップしておとりのドキュメントを起動し、疑いを持たれないようにする機能、ターゲットシステムから自身を完全に削除する機能
  • マルウェア内部:最終的なペイロードを一連の入れ子人形式の各層内に配置する5種類の難読化(パッキング)手法、マルウェアがアナリストや調査担当者のシステムに配置されたかどうかを確認する追加の方法、匿名のオープンソースのペイロードと難読化手法、侵害済みか他の方法でアトリビューション不能にしたネットワークインフラストラクチャをコマンドアンドコントロールで使用

使用マルウェアとインフラストラクチャを包括的に分析した結果、脅威アクターの行動について、潤沢なリソースを持つ高度なアクターが一般に入手可能なツールと手法を用いているという気がかりな傾向が明らかになりました。その目的はほぼ確実に、キャンペーンの早期段階で身元を特定可能な特徴を取り除き、そのカスタムマルウェアが検知されるのを避けることです。

White Companyとそのキャンペーンの1つをサイランスの包括的なアプローチによって調査したところ、この脅威アクターが多くのセキュリティ調査/捜査コミュニティで用いられる代表的な手法やバイアス、前提条件を強く意識していることがわかりました。また、それらの前提条件を意図的に弱めていき、自身が行った作業を分析する能力を効果的に混乱、遅延、低下させる、矛盾する証拠をいくつも残すことにより、上述のコミュニティに対してそうした一般的なアプローチを使用できることを実証しています。

つまり、White Companyは、単にソフトウェアやセキュリティソリューションの脆弱性を悪用しているのではありません。セキュリティ調査担当者の思考と手法の脆弱性を悪用しているのです。

使用された革新的なリサーチ手法

White Companyプロジェクトは、脅威アクターのエクスプロイトキットの大部分を新しい革新的なアプローチで分析することによる恩恵を受けています。この場合は、約30個のサンプルエクスプロイトに埋め込まれたマシン語のシェルコード命令を調査するという、手間のかかる作業が含まれていました。

42個の固有のシェルコード機能に対して遺伝子マーキングとマッピングを行うことで、White Companyのツールキットの開発、変更、進化を経時的に追跡することが可能になりました。これにより、過去に特定されていないキャンペーンや、アトリビューションが誤っていた他のキャンペーンにこの脅威アクターを紐付け、その活動に関する知識を集めて理解を深めることができました。

このレポートが重要である理由

パキスタンはOperation Shaheenの中心にいる国で、南アジア地域の問題のみならずグローバルな問題においても極めて重要な国です。アフガニスタンにおける米国とNATOの対テロ活動の重要な国であると同時に、中国の壮大な一帯一路構想の主要経済パートナーでもあります。また、大量の核兵器を保有し、多数のテロリストを抱えています。国境紛争やテロ攻撃、分離独立運動、軍事クーデターの結果、圧力にさらされ続け、時には公然たる暴力に発展することもありました。

サイランスの判断では、Operation Shaheenで特に狙われていたのはパキスタン空軍です。パキスタン軍は歴史的に国内・外交の両政策に多大な影響力を及ぼしており、パキスタンの選挙で選ばれた文民指導部よりも強い権力を握っています。パキスタン軍を標的にしたスパイ作戦が成功すれば、西洋諸国と必ずしもかみ合わない利害関係を持つ勢力を含む幅広い外国勢力について、かなりの戦術的・戦略的洞察を得ることができます。

パキスタン空軍は、核兵器計画を含む、パキスタンの国家安全保障体制に不可欠な要素であるだけでなく、新しく発表された同国のNational Centre for Cyber Securityの本拠地でもあります。

今後の予定

サイランスのエクスプロイト調査レポートでは、Operation Shaheenで使われたものを含む一連のファイルだけでなく、他の未調査のキャンペーンで使われたファイルも調査しています。

今後もOperation Shaheenと同様のレポートの公開を予定しています。そこでは、これらのキャンペーンに関係するマルウェアとインフラストラクチャについて深く掘り下げて経緯を明らかにしながら、その基になっている技術調査結果の高度な分析を行う予定です。

レポート全文のダウンロードはこちら

Tags: