北朝鮮との関連が疑われるハッカー集団が「求人広告」を使って銀行間ネットワークを担う企業に侵入

by Brian Klug

北朝鮮と関連があると見られている国際ハッカー集団のラザルスグループ(HIDDEN COBRA)が、2018年12月下旬に南米チリのATMインフラを相互接続する企業のネットワークに侵入したことが明らかになりました。ハッカーが使用した方法は、「求人広告」と「Skypeによる通話」だったと報じられています。

[EXCLUSIVO] Así fue el intento de ciberataque a Redbanc en diciembre - TrendTICTrendTIC
http://www.trendtic.cl/2019/01/exclusivo-asi-fue-el-intento-de-ciberataque-a-redbanc-en-diciembre/

North Korean hackers infiltrate Chile's ATM network after Skype job interview | ZDNet
https://www.zdnet.com/article/north-korean-hackers-infiltrate-chiles-atm-network-after-skype-job-interview/

ラザルスグループは韓国政府をターゲットにしたDDoS攻撃を行ったり、銀行などの金融機関や仮想通貨をターゲットにしたサイバー攻撃を行ったりすることで知られています。ラザルスグループの背後には北朝鮮が関係しているともいわれていますが、いまだに北朝鮮が黒幕であるという確証は得られていないとのこと。

2018年12月下旬、チリの銀行間ネットワークやATMの相互接続を担う企業である「Redbanc」のコンピューターネットワークに、ラザルスグループのハッカーが侵入するという事件が発生。当初、ラザルスグループは事件を公表していませんでしたが、チリの上院議員であるFelipe Harboe氏がTwitterで事件についてつぶやいたことで、Redbancへのハッキングが明らかになりました。

その後、Redbancもハッキング攻撃があったことを認め、メディアなどを経由して今回の攻撃がラザルスグループによるものであったこと、ビジネス特化型SNSのLinkedInに掲載された「求人広告」がハッキングの糸口であったことが明らかになりました。ラザルスグループが背後にいると見られるリクルート企業はLinkedInに偽の求人広告を掲載し、ターゲットにふさわしい応募者が求人に応募してくるのを待ち構えていたそうです。

そこにRedbancの従業員が応募したことで、ハッカーは従業員に対してSkypeでの通話をスペイン語で行いました。これによって信頼を勝ち取ったハッカーは、従業員に対して「ApplicationPDF.exe」というプログラムを実行するように依頼します。このプログラムは採用プロセスに必要な履歴書を作成するツールに偽装されており、ウイルス対策ソフトにも引っかからなかったため、従業員は疑うことなくプログラムを実行してしまいました。

しかし、アメリカのインテリジェンス・サービス企業であるFlashpointの分析によると、ApplicationPDF.exeには「PowerRatankba」というラザルスグループが過去の攻撃に使用したマルウェアが仕込まれていたとのこと。このマルウェアは従業員の仕事用PCに関する情報を収集して、リモートサーバーに送信していたとされています。

マルウェアに感染してしまったRedbancのコンピューターネットワークでしたが、Redbancは「監視システムがネットワーク内の異常な振る舞いを検出したため、脅威は未然に防がれてATMネットワークに大きな影響は及ばなかった」と説明しています。

by Burst