ブログ(脅威調査)

ロシア国営研究所が「TRITON」攻撃の カスタム侵入ツール開発に関与している可能性

| by FireEye Intelligence | Incident Response
Malware
Ics
Russia
Incident Response
Critical Infrastructure

ファイア・アイでは以前、重要インフラ施設の産業制御システム(ICS)に影響を及ぼした「TRITON」の侵入事例についてブログにて紹介しました。当社ではこの活動を「TEMP.Veles」という脅威グループと紐づけ、追跡しています。本ブログでは、TEMP.VelesおよびTRITONをロシアの国営研究所と結びつける、さらなる情報を紹介します。

TRITONの侵入事例から示唆されるロシアとの結びつきや、国営研究所からの支援の可能性

ファイア・アイのインテリジェンスは、モスクワに拠点を置くロシアの国営技術研究所である、化学・機械科学の中央科学研究所(CNIIHM=ЦНИИХМ)がTRITONの侵入および展開を支援したと分析しています。この見解を裏付ける要因について本稿で可能な限り紹介しますが、非公開の機密情報も、この確信をより強く裏付けています。

  1. ファイア・アイでは、TEMP.Velesを支援している可能性の高い、マルウェアの開発活動を発見しました。ここで複数バージョンの悪意あるソフトウェアの実験が行われており、その中には、TRITONの侵入事例でTEMP.Velesによって使用されたものがありました。
  2. 当実験を調査した結果、本活動はロシア、CNIIHM、およびモスクワ在住の特定の人物との複数の主体的な関連性があることがわかっています。当該人物のオンラインでの活動は、CNIIHMとの重大な結びつきが見られています。
  3. TEMP.VelesはCNIIHMに登録されたIPアドレスを、TRITONのオープンソース・カバレッジの監視、ネットワークの偵察活動、TRITONの侵入を支援する悪意ある活動など、さまざまな目的のために使用されてきています。
  4. TEMP.Velesの行動パターンは、CNIIHMの拠点があるモスクワの時間帯と合致しています。
  5. TRITONおよびTEMP.Velesのオペレーションの編成・開発を支援する上で必要となる、組織的な知識と人材は、CNIIHMが提供している可能性が高いとファイア・アイは判断しています。

単独または複数のCNIIHM従業員が、雇用主の承認なしにTEMP.Velesの活動を遂行していた可能性は否定できないものの、TEMP.Velesのオペレーションが同研究所の支援を得ているという解釈の方が、信憑性が高いとファイア・アイは考えています。

調査の詳細

マルウェアの実験が、TEMP.VelesとCNIIHMの結びつきを示唆

ファイア・アイは、TEMP.Velesが標的環境で展開した複数の独自ツールを発見しました。ハッシュによって特定された、これらと同じツールの一部は、単一のユーザーがマルウェアの実験環境で評価を行っていました。

TEMP.Velesと関連のあるマルウェアの実験環境

ファイア・アイが確認したマルウェアの実験環境は、TEMP.Velesのツールを改良する目的で使用されたと考えられます。

  • このマルウェア実験環境の使用は、TEMP.Velesのネットワーク内の活動と相関関係があることも多く、侵入を運用面で直接サポートしていることが分かります。
    • 2014年に実験された4つのファイルは、オープンソース・プロジェクトのcryptcatがベースとなっています。これらのcryptcatバイナリを分析したところ、アンチウィルス製品の検知率を下げるため、ファイルを修正し続けていることが示唆されます。こうしたファイルの1つは、TEMP.Velesの標的ネットワーク内で展開されました。検知率が最小のコンパイル済みバージョンは、その後2017年に再実験され、1週間足らずのうちにTEMP.Velesの標的環境に対して展開されました。
    • Ÿ   TEMP.Velesの水平展開(Lateral Movement)活動では、PowerShellベースの公開ツールであるWMImplantが使用されました。2017年の   間、TEMP.Velesは数日間、複数の被害システムにおいて、おそらくアンチウィルス製品の検知機能が原因で、このユーティリティ実行に苦労したと見られます。その後間もなく、マルウェアの実験環境で再び、カスタマイズされたユーティリティが評価されました。翌日になると、TEMP.Velesは再び、感染システム上でユーティリティの展開を試みました。
  • 当該ユーザーは、少なくとも2013年よりマルウェアの実験環境で活動しており、Metasploit、Cobalt Strike、PowerSploitをはじめとした複数のオープンソース・フレームワークのカスタマイズ・バージョンを実験していました。ユーザーの開発パターンは、アンチウィルス製品の回避や代替的なコード実行技術に、格別の注意を払っているように思われます。Mandiantが実施した TEMP.Velesが利用していたカスタムペイロードは、コマンド&コントロールで使用されるコードによって改造された、典型的な、武器化された正規のオープンソース・ソフトウェアです。

実験、マルウェアのアーティファクト、悪意ある活動が、CNIIHMとの関連性を示唆

複数の要因が、当該活動の起源がロシアにあり、CNIIHMに関連していることを示唆しています。

  • 実験されたファイルに格納されていたPDBパスには、固有のハンドル名またはユーザー名と思われる文字列が含まれていました。この通称は、少なくとも2011年よりロシアの情報セキュリティ界隈で活動している、ロシア人と関連があります。
    • このハンドル名は、「Hacker Magazine」のロシア語版において、脆弱性研究の貢献で高く評価されています(хакер)。
    • 過去に存在していたSNSのプロフィールによると、同一人物はCNIIHMの教授で、モスクワのナガチノ・サドヴニキ地区のナガチンスカヤ通りの近くで勤務していました。
    • ロシアのSNS上で同一のハンドル名を用いた別のプロフィールでは、プロフィールの履歴全体を通じ、モスクワ近郊にいる人物写真が今でも複数枚見られます。
  • TEMP.Velesと疑われるインシデントの中には、CNIIHMに登録されている「87.245.143.140」を発信源とした、悪意ある活動が存在しています。
    • このIPアドレスは、TRITONのオープンソース・カバレッジの監視に使用されており、TEMP.Veles関連の活動では、このネットワークを発信源とした、不明の容疑者による影響の可能性が高くなっています。
    • このほか、TEMP.Velesの関心対象となる標的へのネットワーク偵察活動にも従事しています。
    • このIPアドレスは、TRITONの侵入をサポートする、その他の悪意ある活動にも関連しています。
  • 複数のファイルにキリル文字の名前とアーティファクトが残されています。
Picture3a

図1:TRITON攻撃者の運用時間のヒートマップ(UTC時間で表示)

活動パターンがモスクワの時間帯と合致

攻撃者の行動に関するアーティファクトもまた、TEMP.Velesのオペレーターがモスクワを拠点としていることを示唆しており、モスクワにあるロシアの研究機関のCNIIHMが、TEMP.Velesの活動に関与しているというシナリオを、よりいっそう裏付ける結果となっています。

  • ファイア・アイは、標的ネットワーク上における横展開の中でTEMP.Velesが作成した多数のファイルを対象に、ファイル作成時間を特定しました。これらのファイル作成時間は、UTC+3の時間帯(図1)で運用を行う攻撃者の典型的な作業スケジュールと合致しており、拠点がモスクワ近郊であることを裏付けています。
Picture4

図2:修正済みサービスのconfig

  • TEMP.Velesのツールセットから回収された、その他の言語的なアーティファクトも、こうした地域的な結びつきと合致しています
    • 調査で回収したZIPアーカイブ「schtasks.zip」には、なりすましサービス「ProgramDataUpdater」向けのXMLスケジュールタスクの定義ファイルのバージョン2つを含む、CATRUNNERのインストーラー/アンインストーラーが格納されていました。
    • 悪意あるインストール・バージョンには、英語でのタスク名/記述が、クリーンアンインストール・バージョンには、キリル文字でのタスク名/記述が残されています。ZIP内の修正日のタイムラインからは、攻撃者はロシア語版を英語に順次変更していることも示唆されており、発信源の隠蔽という計画的な行為の可能性が高くなっています(図2)。
Picture5

図3:中央化学・機械科学研究所(CNIIHM)(Googleマップ)

CNIIHMが、TRITONを作成し、TEMP.Velesのオペレーションを支援する上で必要となる、組織的な知識と人材を提供している高い可能性

TRITONの攻撃フレームワークを展開したのがTEMP.Velesであることは明らかな一方、ツールの開発元がCNIIHMである、あるいはCNIIHMでないことを実証する具体的な証拠は見つかっていません。研究所が自称する使命やその他の公開情報に基づくと、CNIIHMはおそらく、TRITONの開発とプロトタイプ作成に必要となる、組織的な専門知識を保持していると推定されます。

  • CNIIHMでは少なくとも以下の2つの、重要インフラ、企業の安全、武器/軍用機器の開発に関する経験豊富な研究部門を有しています
    • 応用研究センター:破壊的な情報や技術的な影響から重要インフラを保護するための手段・方法を作成しています。
    • 実験機械エンジニアリングセンター:武器や軍用/特殊機器を開発しています。このほか、緊急事態における企業の安全性を確保するための方法も研究しています。
  • CNIIHMは、以下をはじめ、他の国家的な技術開発機関とも公式に連携をしています
    • モスクワ物理・技術研究所(PsyTech):応用物理学、コンピュータ・サイエンス、化学、生物学を専門としています。
    • 国家科学センター協会「ナウカ(Nauka)」:ロシア連邦科学センター(SSC RF)の43団体の調整を行っています。主な対象分野としては、核物理学、コンピュータ・サイエンス/計測、ロボット工学/エンジニアリング、電気工学などが挙げられます。
    • 連邦技術・輸出管理局(FTEC):輸出規制、知的財産、機密情報保護を担当しています。
    • ロシア・ミサイル・大砲科学アカデミー(PAPAH):ロシアの防衛産業複合体の強化に向けた、研究開発を専門としています。
  • CNIIHMの公式ドメインへのリンクが貼られている、ロシアの求人サイトの情報からは、CNIIHMがコンピュータ支援設計・制御分野のインテリジェント・システムや新たな情報技術の開発にも従事していることが示唆されます(図4)。
Picture4a

図4:CNIIHMのWebサイトのトップページ

可能性の低い、別の解釈

単独または複数のCNIIHM従業員が、雇用主の承認なしにTEMP.VelesをCNIIHMに結びつける活動を遂行した可能性も残されています。しかし、このシナリオは非現実的だと、ファイア・アイは考えます。

  • このシナリオでは、前述のCNIIHM従業員を含む、単独または複数の人物が、CNIIHMの知識や承認なしに、数年以上もの間、CNIIHMのアドレス空間から高リスクのマルウェア開発/侵入を大規模に遂行していたことになります。
  • CNIIHMの特性は、TEMP.Velesの活動の遂行機関として想定されるイメージと合致しています。TRITONは高い専門性を備えたフレームワークであり、その開発に求められる能力を備えた侵入オペレーターは、そう多くないでしょう。
前の投稿
次の投稿