10年以上にわたり偽の証拠でターゲットを犯罪者に仕立て上げてきたハッカー集団「ModifiedElephant」が特定される
アメリカのセキュリティ企業であるSentinelOneが2022年2月9日に、少なくとも10年以上にわたり、インドの人権活動家やジャーナリストを犯罪者に仕立て上げてきたハッカー集団である「ModifiedElephant」に関するレポートを発表しました。
ModifiedElephant APT and a Decade of Fabricating Evidence - SentinelOne
https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/
Hacking group 'ModifiedElephant' evaded discovery for a decade
https://www.bleepingcomputer.com/news/security/hacking-group-modifiedelephant-evaded-discovery-for-a-decade/
今回発表された「ModifiedElephant」は、特定のグループのシステムに犯罪の証拠となるような偽造ファイルを仕込む工作を行っているとされるハッカー集団です。その手口は、当初は「ファイル名.pdf.exe」というような二重拡張子がついたファイルを送りつけるという非常にシンプルなものでした。
しかし、2015年には「マルウェアの動作を隠すような偽のドキュメントファイルをパスワードで暗号化したRARファイルに仕込む」など巧妙化し、2019年にはクラウドホスティングサービスを悪用したマルウェアのホスティングを開始。2020年には約300MBの大容量RARファイルを使うことでスキャンを回避するという手法を使って、ターゲットのシステムに悪意のあるファイルを忍び込ませていました。
以下は、偽の犯罪の証拠ファイルを送りつけるのに使われたメールのサンプルです。
ModifiedElephantから被害者に送られたフィッシングメールには、正当に見える受信者リストや転送履歴、それらしい本文の文章など、正当性を偽装するためのアプローチが多数使われていたとのこと。また、偽の文書の内容には政治的な関連性が見られることから、ModifiedElephantは特定のグループにぬれぎぬを着せることを目的に活動していると推測されています。
ModifiedElephantの活動が明るみに出たのは、インドのマハーラーシュトラ州で2018年1月に発生した、親政府派と反政府派の衝突がきっかけです。5人が負傷し1人が死亡した一連の騒動で、マハーラーシュトラ州警察はインドの過激派組織の構成員を多数逮捕し、押収したPCからナレンドラ・モディ首相の暗殺計画をはじめとする犯罪の証拠を発見したと発表しました。
その後、被告らが証拠の鑑定を依頼したアメリカのフォレンジック企業であるArsenal Consultingは、警察が押収したデジタルファイルは偽造されたものだとするレポートを発表。これを入手したSentinelOneがさらなる調査を実施した結果、長年にわたり特定のグループに対して同様の攻撃を仕掛けているハッカー集団・ModifiedElephantの存在が浮かび上がりました。
ModifiedElephantは少なくとも2012年から活動していること確認されており、記事作成時点でも活動を継続しています。このハッカー集団について、IT系ニュースサイトのBleeping Computerは「ModifiedElephantの攻撃は、いくつかのターゲットが逮捕された直前に行われていました。また、ターゲットがインドの国益の邪魔になる存在だということも踏まえると、ModifiedElephantはインドの公的機関から支援されているのではないかと見られています。言論の自由に携わる活動家や学者が金目当ての犯行で狙われることはまずありませんから、こうした攻撃には常に政治が絡んでいると言っていいでしょう」とコメントしました。
・関連記事
フォントを見るだけで偽造文書を暴き事件を解決する「フォント探偵」が存在する - GIGAZINE
検察官になりすまし自分への刑事告発を取り下げた女性が起訴される - GIGAZINE
肉眼で画像の再利用・加工を行う不正な論文を見抜くスペシャリストとは? - GIGAZINE
・関連コンテンツ