ファイア・アイ、Skypeを悪用してシリアでの軍事計画を窃取する 脅威グループの存在を明らかに

アサド政権軍に有利な戦局をもたらすデータを盗用

米国カリフォルニア州ミルピタス発
高度なサイバー攻撃の対策製品、サービスで業界をリードするファイア・アイ(FireEye、本社:米国カリフォルニア州ミルピタス、日本法人:東京都千代田区、代表:茂木正之)は、2月2日(米国時間)、シリア反体制派の戦略・戦術を盗んだサイバー・スパイ・グループの活動について詳述した、ファイア・アイの脅威インテリジェンスチームによるレポート「Behind the Syrian Conflict’s Digital Front Lines(シリア紛争でのデジタル戦線の裏側)」を発表しました。シリアでは、アサド政権率いる政府軍と、アサド政権が所属するアラウィ派への優遇措置に反発する反体制派の内戦が長く続いています。今回のレポートでは、これまで明らかではなかった、水面下で行われているサイバー空間のスパイ活動について詳しくまとめています。

l盗まれた情報とターゲット
この脅威グループは、少なくとも2013年11月~2014年1月の期間に、機密文書とSkypeの会話のキャッシュを盗み出しており、この結果、シリア反体制派の戦略、戦術計画、必要な物資やその補給ルート、兵器・弾薬一覧、アサド大統領軍の敵対勢力に関する大量の個人情報、チャット・セッションが暴かれました。調査では、12,356人/31,107件のSkypeのチャット・セッションから240,381件のメッセージが盗まれ、そのデータ量は7.7ギガバイトにも上ると見られています。これらの盗まれたデータはシリアのバッシャール・アル=アサド大統領軍の敵対勢力や、メディア活動家、人道支援従事者など、シリアや同地域の内外で活動する反体制組織が所有しているものでした。

攻撃手法
今回のサイバー攻撃の実行において、脅威グループが採用した手法は気さくで魅力的な雰囲気を持つ架空の女性とのやり取りを通じ、ターゲットを陥れるという古典的な戦術でした。この架空の女性はSkypeを通してターゲットにアプローチし、会話が進む中で、「女性」は自分の写真を提示してくるのですが、この中には、ターゲットのコンピュータやAndroidスマートフォンに侵入できるよう開発されたマルウェアが仕込まれています。

ファイア・アイの脅威インテリジェンスチームの分析では、脅威グループがとる独自の戦術を明らかにしています。まず、攻撃者はSkypeのやり取りの中でターゲットがチャットで使用中のデバイスの種類を聞き出します。そして、Androidスマートフォンかコンピュータかを判断した上で、攻撃者は相手のデバイスに合わせたマルウェアを送信します。ほかにも、反体制派のWebサイトを装い、悪意のあるダウンロードページへのリンクを張ったWebサイトを保持していたり、Facebookプロフィールに悪意のあるリンクを仕組んでいたことも発見されています。

ファイア・アイの脅威インテリジェンス 上級リサーチャーのNart Villeneuve(ナート・ヴィルヌーブ)は、次のように述べています。「脅威について調査を進めている中で、シリアの反体制派をターゲットとした活動を検知しました。そこでは、脅威グループが有利な局面を得ようとして見つけた画期的な手法が確認されました。こうした攻撃の背後にいる人物を明確に特定することはできませんが、彼らがソーシャルメディアを悪用する形でターゲットの端末に侵入し、アサド政権軍に有利となる軍事情報を盗んだことは明白です」

l使用されたマルウェアツール
この脅威グループは、様々なタイプのマルウェアツールセットを使用しており、開発リソースへのアクセスがあることを示唆しています。彼らは一般的なマルウェアだけでなく、カスタマイズされたマルウェアも使用しています。具体的には、DarkComet RATやカスタマイズされたキーロガー、そして様々な種類のシェルコードのペイロードを利用したツールなどが使われていました。

l脅威グループの素性
ファイア・アイの脅威インテリジェンスチームが特定した情報のうち、脅威グループの素性を示す証拠は限られていますが、仮にこのデータがアサド大統領の軍や同盟国の手に渡った場合、アサド側の軍事活動に有利に働きます。また、今回のスパイ活動の拠点について確証に至る情報はありませんが、マルウェアのテスト過程や、攻撃に使われた架空の人物とのソーシャルメディアから得た情報から、シリア国外を拠点にしているか、国外サーバーを活用し、シリア国内から攻撃を行っている可能性があります。ファイア・アイが行ったマルウェアの検査やソーシャルメディアの使用に関する調査の中では、レバノンに関連性のある形跡が複数、検知されています。

レポートの全文(英語)は、以下でご覧いただけます。

今回のサイバー攻撃の活動に関連する侵害インジケータ(IOC:Indicators of Compromise)は、以下でご覧いただけます。