セキュリティ

ロシア政府の影がちらつく大規模サイバースパイ組織「The Dukes」とは?


セキュリティ企業のエフセキュアが、大規模なAPT攻撃やサイバースパイ活動を行っている「The Dukes(APT29)」と呼ばれるグループに関するレポートを発表しました。レポートによると、The Dukesの背後にはロシア政府がいるとのこと。

The Dukes: 7 Years Of Russian Cyber-Espionage | News from the Lab
https://labsblog.f-secure.com/2015/09/17/the-dukes-7-years-of-russian-cyber-espionage/

The Dukes 7 years of Russian cyberespionage
(PDFファイル)https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

Seven years of malware linked to Russian state-backed cyber espionage | Ars Technica
http://arstechnica.com/security/2015/09/seven-years-of-malware-linked-to-russian-state-backed-cyberespionage/

The Dukes(APT29)は、「HAMMERTOSS」と呼ばれるリモートアクセスツールとバックドアを用いて、TwitterやGitHubなどのウェブサービス経由でユーザーにマルウェア入りの画像を読み込ませて、データを盗み出したり、国防総省に対してスピアフィッシングを仕掛けたりしたことで知られる、ロシアのハッカーグループです。


これまでに、The Dukesは上述のHAMMERTOSS(HammerDuke)のほか、MiniDuke、CosmicDuke、OnionDuke、CozyDuke、SeaDuke、CloudDuke(MiniDionis)といった数多くのマルウェアを使っており、エフセキュアをはじめ、数多くのセキュリティ企業がツールの研究を行ってきました。全体の把握は困難を極めましたが、エフセキュアは「PinchDuke」と「GeminiDuke」という2つのツールの解析を進めることで、既知のマルウェアからThe Dukesに繋がる手がかりを見つけました。

これまでに知られているThe Dukesの使用してきたツール一覧とその確認時期はこんな感じ。一番左から2つのPinchDukeとGeminiDukeは2009年前後に初めて確認され、それぞれ2010年半ばと2012年末以降には使用された形跡が見つかっていない古いツールです。


ツール名には「Duke(ドゥーク/デューク)」という共通した文字列が入っていますが、この名付けルールは、「MiniDuke」を発見したカスペルスキーの研究者が、バックドアの構造がそれ以前に見つかっていたマルウェア「ItaDuke」と同様であったことから、関連がわかるようにしたところに由来しています。名前としての「Duke」は、猛威をふるったマルウェア「Duqu(ドゥークー)」に由来しており、ハッカーグループが名付けたものではありません。同様に「The Dukes」という名前も「Duke」という名の付いた一連のツールを集団という意味で呼ばれているもので、グループが自称しているわけではなく、公式には「APT29」と呼ばれています。


The Dukesの特徴はターゲットに気付かれないままに情報を得続ける能力の高さにあり、主に西側諸国の中央省庁・政治的なシンクタンク・政府の下請け業者などを対象として活動しています。また、西側諸国以外では独立国家共同体の諸国、アジア・アフリカ・中東諸国、チェチェンの過激派も対象に含まれています。

ここ数年は、半年ごとに数百の政府機関やその関連機関、合計数千人規模のスピアフィッシングを仕掛けていることが知られています。ハッカー集団は、危険にさらされた人の中に利用価値がある「対象」を見つけた場合、使用するツールセットを切り替えて、より執拗かつ長期的に情報収集を行います。作戦は、少なくとも7年にわたって続いていることがわかっており、ロシアと外国との機密保護政策との一致を見せているとのこと。

当然ながら、The Duke側でも自分たちに対する研究が進められていることは把握しているはずですが、作戦はグループの後援者から高く評価されているらしく、いったんツールを停止して作戦を中断し、より秘匿性の高いものに修正するということは行われていないそうです。しかし、ツールを起動したままでの修正は行われているとのこと。

エフセキュアは「ロシア政府が関与していると信じている」ものの、The Dukesが政府内部のチームなのか、外部のチームなのか、あるいは犯罪者集団が高額の報酬で動いているのか、愛国者グループがやっていることなのかまではわからないと述べています。

この記事のタイトルとURLをコピーする

・関連記事
過去最大20万台以上の脱獄済みiOS端末がマルウェアに感染、アカウント情報が流出したと判明 - GIGAZINE

Kaspersky Labの社内ネットワークに新型マルウェア「Duqu 2.0」が侵入 - GIGAZINE

HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 - GIGAZINE

YouTubeを見た11万人以上がマルウェアに感染、原因は「広告」 - GIGAZINE

スマホにマルウェアを感染させ個人の行動を監視する政府向けのサービス「Galileo」の存在が明らかに - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by logc_nt

You can read the machine translated English article here.