ファイア・アイでは以前、重要インフラ施設の産業制御システム(ICS)に影響を及ぼした「TRITON」の侵入事例についてブログにて紹介しました。当社ではこの活動を「TEMP.Veles」という脅威グループと紐づけ、追跡しています。本ブログでは、TEMP.VelesおよびTRITONをロシアの国営研究所と結びつける、さらなる情報を紹介します。
TRITONの侵入事例から示唆されるロシアとの結びつきや、国営研究所からの支援の可能性
ファイア・アイのインテリジェンスは、モスクワに拠点を置くロシアの国営技術研究所である、化学・機械科学の中央科学研究所(CNIIHM=ЦНИИХМ)がTRITONの侵入および展開を支援したと分析しています。この見解を裏付ける要因について本稿で可能な限り紹介しますが、非公開の機密情報も、この確信をより強く裏付けています。
- ファイア・アイでは、TEMP.Velesを支援している可能性の高い、マルウェアの開発活動を発見しました。ここで複数バージョンの悪意あるソフトウェアの実験が行われており、その中には、TRITONの侵入事例でTEMP.Velesによって使用されたものがありました。
- 当実験を調査した結果、本活動はロシア、CNIIHM、およびモスクワ在住の特定の人物との複数の主体的な関連性があることがわかっています。当該人物のオンラインでの活動は、CNIIHMとの重大な結びつきが見られています。
- TEMP.VelesはCNIIHMに登録されたIPアドレスを、TRITONのオープンソース・カバレッジの監視、ネットワークの偵察活動、TRITONの侵入を支援する悪意ある活動など、さまざまな目的のために使用されてきています。
- TEMP.Velesの行動パターンは、CNIIHMの拠点があるモスクワの時間帯と合致しています。
- TRITONおよびTEMP.Velesのオペレーションの編成・開発を支援する上で必要となる、組織的な知識と人材は、CNIIHMが提供している可能性が高いとファイア・アイは判断しています。
単独または複数のCNIIHM従業員が、雇用主の承認なしにTEMP.Velesの活動を遂行していた可能性は否定できないものの、TEMP.Velesのオペレーションが同研究所の支援を得ているという解釈の方が、信憑性が高いとファイア・アイは考えています。
調査の詳細
マルウェアの実験が、TEMP.VelesとCNIIHMの結びつきを示唆
ファイア・アイは、TEMP.Velesが標的環境で展開した複数の独自ツールを発見しました。ハッシュによって特定された、これらと同じツールの一部は、単一のユーザーがマルウェアの実験環境で評価を行っていました。
TEMP.Velesと関連のあるマルウェアの実験環境
ファイア・アイが確認したマルウェアの実験環境は、TEMP.Velesのツールを改良する目的で使用されたと考えられます。
- このマルウェア実験環境の使用は、TEMP.Velesのネットワーク内の活動と相関関係があることも多く、侵入を運用面で直接サポートしていることが分かります。
- 2014年に実験された4つのファイルは、オープンソース・プロジェクトのcryptcatがベースとなっています。これらのcryptcatバイナリを分析したところ、アンチウィルス製品の検知率を下げるため、ファイルを修正し続けていることが示唆されます。こうしたファイルの1つは、TEMP.Velesの標的ネットワーク内で展開されました。検知率が最小のコンパイル済みバージョンは、その後2017年に再実験され、1週間足らずのうちにTEMP.Velesの標的環境に対して展開されました。
- TEMP.Velesの水平展開(Lateral Movement)活動では、PowerShellベースの公開ツールであるWMImplantが使用されました。2017年の 間、TEMP.Velesは数日間、複数の被害システムにおいて、おそらくアンチウィルス製品の検知機能が原因で、このユーティリティ実行に苦労したと見られます。その後間もなく、マルウェアの実験環境で再び、カスタマイズされたユーティリティが評価されました。翌日になると、TEMP.Velesは再び、感染システム上でユーティリティの展開を試みました。
- 当該ユーザーは、少なくとも2013年よりマルウェアの実験環境で活動しており、Metasploit、Cobalt Strike、PowerSploitをはじめとした複数のオープンソース・フレームワークのカスタマイズ・バージョンを実験していました。ユーザーの開発パターンは、アンチウィルス製品の回避や代替的なコード実行技術に、格別の注意を払っているように思われます。Mandiantが実施した TEMP.Velesが利用していたカスタムペイロードは、コマンド&コントロールで使用されるコードによって改造された、典型的な、武器化された正規のオープンソース・ソフトウェアです。
実験、マルウェアのアーティファクト、悪意ある活動が、CNIIHMとの関連性を示唆
複数の要因が、当該活動の起源がロシアにあり、CNIIHMに関連していることを示唆しています。
- 実験されたファイルに格納されていたPDBパスには、固有のハンドル名またはユーザー名と思われる文字列が含まれていました。この通称は、少なくとも2011年よりロシアの情報セキュリティ界隈で活動している、ロシア人と関連があります。
- このハンドル名は、「Hacker Magazine」のロシア語版において、脆弱性研究の貢献で高く評価されています(хакер)。
- 過去に存在していたSNSのプロフィールによると、同一人物はCNIIHMの教授で、モスクワのナガチノ・サドヴニキ地区のナガチンスカヤ通りの近くで勤務していました。
- ロシアのSNS上で同一のハンドル名を用いた別のプロフィールでは、プロフィールの履歴全体を通じ、モスクワ近郊にいる人物写真が今でも複数枚見られます。
- TEMP.Velesと疑われるインシデントの中には、CNIIHMに登録されている「87.245.143.140」を発信源とした、悪意ある活動が存在しています。
- このIPアドレスは、TRITONのオープンソース・カバレッジの監視に使用されており、TEMP.Veles関連の活動では、このネットワークを発信源とした、不明の容疑者による影響の可能性が高くなっています。
- このほか、TEMP.Velesの関心対象となる標的へのネットワーク偵察活動にも従事しています。
- このIPアドレスは、TRITONの侵入をサポートする、その他の悪意ある活動にも関連しています。
- 複数のファイルにキリル文字の名前とアーティファクトが残されています。