© User:Colin / Wikimedia Commons / CC-BY-SA-4.0
カスペルスキー・ラボの調査分析チーム(GReAT)は、ロシア語話者が関係しているとみられるサイバースパイグループ「Turla」(トゥーラ)が、攻撃活動とその拠点を隠蔽するため、衛星ネットワークの仕様を悪用していることを解明したと発表した。
Turlaは、SnakeやUroburosなどの別名を持ち、8年以上活動を続けている高度なサイバースパイグループだ。これまでにカザフスタン、ロシア、中国、ベトナム、米国をはじめ、45か国以上の政府機関、大使館、軍事組織、教育機関、研究機関、製薬企業などで大量のコンピューターをマルウェアに感染させてきた。Turlaの攻撃には「Epic」というマルウェアが用いられ、バックドアを仕掛けて標的のネットワークに侵入し、内部情報を収集する。社会的地位や知名度の高い組織だけに対象を絞られていた。今回の調査報告で明らかになったのは、このサイバー攻撃の最終段階で広範な衛星通信のメカニズムを利用して、自らの活動の痕跡を隠蔽するということだ。
衛星通信は、通常のインターネット接続が不安定だったり利用できない地域などで活用されているが、下り専用回旋は安価な衛星インターネット回線の一つとして普及している。
この下り線用接続の場合、下りトラフィックで衛星回線が使われるのだが、通信が暗号化されないという欠点があるため、安価な機器とソフトウェアだけで簡単に通信を傍受できるのだ。
Turlaはこの特性を悪用し、標的との通信と指令サーバーの隠蔽を次のような手順で行っているという。
【1】攻撃者は衛星からの下りトラフィックを「注視」し、オンライン状態の正規衛星通信ユーザーのIPアドレスを特定。
【2】次に、上記で特定したIPアドレスと同じIPアドレスを指令サーバーに振り当て、正規ユーザーを指令サーバーの隠れ蓑として使用。
【3】標的に感染させたEpicマルウェアに従来の通信方法でコマンドを送信し、調査結果や窃取するデータを衛星経由で先に特定したIPアドレスで受信。この際、データの送信先には通常閉じられているポートを指定しているため、正規IPアドレスのユーザー側では通信がドロップされてしまうため通信に気づくことなく、攻撃者の元だけに窃取した情報が届く――というからくりである。
出典/カスペルスキー
現在のところ、攻撃者は中東とアフリカ諸国の衛星インターネット接続プロバイダーを利用しており、コンゴ、レバノン、リビア、ニジェール、ナイジェリア、ソマリア、UAEのプロバイダーのIPアドレスが悪用されていることが確認されているという。これらの国の事業者が使う衛星は、欧州や北米地域をカバーしていないことが多いため、大半のセキュリティリサーチャーによる調査が困難なってしまうのだ。
カスペルスキー・ラボのシニアセキュリティリサーチャー、ステファン・タナセは、次のように語る。
「衛星インターネット回線を利用して活動を隠蔽しているグループは、これまでに少なくとも3つ確認されています。その中でも、Turlaグループが開発した手法は最も興味深く、特殊です。一方向の衛星インターネットという広く使用されている技術を悪用し、極めて高いレベルの匿名性を実現しています。Turlaの拠点は、攻撃に使われた衛星の通信可能範囲のどこかにあると考えられますが、この範囲は数千平方キロメートルを超えることもあるため、攻撃者の追跡はほぼ不可能です。こうした手法が広く利用されるようになっており、システム管理者はエンドポイントを含め適切な防御策をとり、攻撃の影響を緩和することが重要です」
参照:
カスペルスキー
<文/HBO取材班 Photo by
User:Colin /
Wikimedia Commons /
CC-BY-SA-4.0>