ブログ(トレンド&インサイト)

APT28:ロシア当局から支援を受けたサイバー・スパイ活動の可能性について

本コンテンツは、2014年10月28日(米国時間)にFireEye, Inc.のブログにて公開された内容の翻訳です。 本内容は予告なく更新されている可能性があることをご了承ください。

米国カリフォルニア州ミルピタス発

国家が関連するサイバー攻撃グループの活動の存在が初めて世間に対して大きく取り上げられたのは、中国を拠点とするサイバー・スパイのプロ集団について詳述した「APT1」レポート(発行元:マンディアント、現ファイア・アイ)と思われます。今回、ファイア・アイでは、新たに「APT28:ロシア当局から支援を受けたサイバー・スパイ活動の可能性について(APT28: A Window Into Russia’s Cyber Espionage Operations?)」と題したレポートを発表しました。

本レポートは、当社が「APT28」と名づけた脅威グループに焦点を当ててまとめたものです。APT28で使われたマルウェアはサイバー・セキュリティ業界ではすでに知られたものですが、本レポートでは、新たな情報を詳述することで、モスクワを拠点とするロシア当局の支援を受けていると思われる、継続的かつ集中的なサイバー・スパイ活動を浮き彫りにしています。

APT28の場合、ファイア・アイが追跡している中国の脅威グループとは異なり、経済的利益を目的に知的財産の窃取を広範囲に実行している形跡はありません。その代わりに、ロシア当局にとって最も有益と思われる機密情報の収集に注力しています。具体的には、少なくとも2007年以降から、APT28はロシア当局にとって有益と思われる各国の政府、軍、安全保障機関に関連する機密情報を標的としてきていることを観測しています。

本レポートでは、同グループが使用したマルウェアのサンプルもいくつか紹介しています。その情報から、以下の特徴が明らかになっています。

  • 開発者がロシア語の話者であること
  • モスクワとサンクトペテルブルグを含むロシアの主要都市と一致した時間帯で、スパイ活動を行っていること

ファイア・アイのアナリストは、2007年以降、APT28が同マルウェアを組織的に進化させていることも特定しています。長期間の利用できる柔軟で持続可能なプラットフォームを用い、また高度なコーディング手法を使用することで、リバース・エンジニアリングを困難にしようという思惑がうかがえます。

私たちは、下表にまとめた多数の要因に基づき、APT28がロシア当局の支援を受けている可能性が高いと考えています。