
イラン革命防衛隊長官の死に対するイランのサイバー対応は、報告されたTTPと以前のアクセスを使用する可能性が高い
Recorded FutureのInsikt Group®は、カッセム・スレイマニの殺害に対するイランの反応の可能性を分析するために、入手可能な情報を検討した。 このレポートは、サイバーベースの報復に関与している可能性のある戦術、ツール、およびグループをまとめるのに役立ちます。
この報告書は、特にペルシャ湾での緊張の高まりや、中東の地政学的出来事に続く人々を受けて、イランの国営グループに標的にされることを懸念する組織にとって、最も興味深いものとなるだろう。
Insikt Groupは、これらのインシデントに関する新たな調査結果や、それに関連するサイバー脅威活動が検出され次第、最新情報を提供します。方法の詳細については、これらのリンクを参照してください イランは国家主導のサイバー作戦を管理している そして 国家が支援する愛国的なハッカーの歴史。情報源には、Recorded Future® Platform やその他のオープンな情報源で表面化した情報が含まれます。
Executive Summary
1月3日未明、イランのイスラム革命防衛隊・コッズ軍(IRGC-QF)の司令官であるイランのカセム・スレイマニ氏、人民動員軍(PMF)の副司令官であるイラクのアブ・マフディ・アル・ムハンディス氏、その他数人がイラクのバグダッド国際空港付近で米国のミサイル攻撃で死亡した。特にスレイマニ氏とアル・ムハンディスの死は、イランとその同盟国からの対応を引き起こす可能性が高いと評価しており、これには、中東における米国およびパートナー政府および企業の利益に対して、イランの軍事資産とその同盟民兵が実施する報復的な非対称措置のパターンが含まれる可能性があります。
主な判断
- 我々は、イランからの慎重ではあるが直接的な反応を期待している。 これは、権力の座に留まることに深く関心を持ち、米国が直接的な軍事的対立に関与することを躊躇しているイランの支配政権を絶縁するのに役立つ部分があると私たちは評価しています。 与党政権からの慎重な対応を期待しているにもかかわらず、イランの代理人は、この地域でより積極的に報復する可能性が高いと私たちは考えています。
- イランは、非常に有能なサイバー作戦部隊を保有しており、サイバー攻撃の最も可能性の高い標的は、依然として米国と、中東のパートナー政府、軍事、および商業的利益であると我々は考えている。
- ハクティビスト勢力(私たちは政府主導ではないが、政権寄りと定義しています)間のおしゃべりを観察した結果、攻撃は、保護が緩いWebサイト、サーバー、データベースなど、よりソフトなターゲットに対してエスカレートする可能性が高いと評価しています。
- ロシアの国家支援グループがイランのインフラ をハイジャック し、サイバー作戦に 利用 しているという最近 の文書 化された事例は、サイバー活動の原因を疑おうとする被害者に不確実性と混乱を増大させる可能性がある。既知で追跡されているイランのサイバーインフラを使用した作戦が、実際にイラン政府によって運営され、指示されているかどうかは、今日ではあまり明らかではない。これは、ロシアがイランのサイバー作戦インフラを侵害、ハッキングしている程度がわからないため、誤った帰属と誤ったエスカレーションの可能性を高めます。
背景
2020年1月2日夜遅く(東部時間)、 報道機関(脅威についての)レポート作成 は、イラクのバグダッド国際 空港付近で米国のミサイル攻撃が発生したことを明らかにした。 この空爆により、イランのイスラム革命防衛隊・コッズ軍(IRGC-QF)のカセム・スレイマニ長官や、人民動員軍(PMF)と呼ばれるイラク民兵組織の副団長アブ・マフディ・アル・ムハンディスを含む数人が死亡した。殺害されたと伝えられている人々の中には、PMFの広報責任者であるモハメド・リダ・ジャブリを含む他の数人のPMFの代表も含まれていた。米国 国防総省の声明とイラン政府 機関の報道により、攻撃が確認され、スレイマニ氏が攻撃の標的となった。
脅威分析
Insikt Groupは、特にスレイマニの死は、イランの軍事資産、代理人、またはその同盟民兵が中東の米国政府や企業の利益、およびサウジアラビアなどの米国の地域パートナーに対して実行する報復的な非対称措置を含む複数のシナリオを含む、イラン政府からの反応を引き起こす可能性が高いと評価しています。 アラブ首長国連邦(UAE)、イスラエル。
この記事の執筆時点で、 Recorded Future 全会一致 対応 イランの 軍事、 外交、 政治 の指導者らは報復攻撃が行われるだろうが、そのような声明には、いつ、どのように、どこで起こるかについての具体的な内容は含まれていないが、 対応。 イランの最高指導者アリ・ハメネイ師は2020年1月3日、スレイマニに対する攻撃を主導した人々には「厳しい復讐」が待っていると 宣言 し、戦死した革命防衛隊QF司令官を追悼するために3日間の 全国的な追悼を開始し た。1月5日、イラン最高指導者ホセイン・デガン少将の軍事顧問は、イランの対応は「間違いなく軍事的」であり、米国の「軍事施設」に向けられるだろうと述べた。
報復の必要性を読む
過去数年間、ソレイマニ将軍は、イスラム国(IS)グループによる テロ攻撃 や脅威から国を守る戦略に責任があるという考えもあって、国内で広範な支持を得てきたと 伝え られている。いくつかの 報道 は、ソレイマニ氏の死が報 復の明確な呼びかけにつながったことを示唆しているが、これは極端な暴力行為が政府やイラン軍関係者に影響を与えた場合を除いて、最近のイラン軍史では珍しいことである。その例としては、2017年6月のISによるイラン議会への攻撃や、2017年8月にISによるIRGC将校 モーセン・ホジャジの斬首事件などがある。前者はISに対する弾道ミサイル攻撃につながり、IRGC将校のホジャジはISとの戦いの象徴となった。当時、ソレイマニは多くの革命防衛隊高官の中でも、ホジャジの 死への対応の先頭に立った。
イランが追求する可能性が高いより計算されたアプローチを示していると私たちが信じている歴史的な例の1つは、ソレイマニの死に対応、1998年のアフガニスタンタリバンによるイラン外交官の殺害です。 1998年、約12人のイラン外交官がアフガニスタン・タリバンによって殺害されたが、その結果、タリバングループに対する国民の抗議が起こり、約 20万人 のイラン軍が動 員 された。ランド社の調査では、 アフガニスタン 危機に対処するためのイラン政府内の現実的な意思決定プロセスが描かれている。イデオロギーの宿敵に軍事的に対抗しようとする革命防衛隊や過激な政治戦線の強硬な利益にもかかわらず、最高指導者ハメネイ師は代わりに「戦争のリスクのない」対応を選択した。同様に、2020年1月5日、ハメネイ師の最高顧問である革命防衛隊将軍ホセイン・デガンは、イランはソレイマニ殺害に 軍事的 に対応するが、戦争は行わないと主張した。
インシクト・グループは、イランがソレイマニ司令官の死による圧力を相殺する必要性とバランスを取りながら、米国との直接的な軍事的関与の可能性をさらに高めることから、慎重な非対称的な対応を追求する可能性が高いと評価している。
最近の非対称報復攻撃の例
イランまたはイランが支援する軍隊が過去に行ったと疑われる報復措置には、以下が含まれますが、これらに限定されません。
- 2019年を通じて、IRGC-QFは、アブカイクとクライスにあるサウジアラビアの石油施設へのミサイル攻撃や、スウェーデン所有の石油タンカー「ステナ・インペロ」の拿捕と徴発の背後にいると疑われていた。
- イランは、シーア派グループへの影響力を利用して、バーレーンのように宗派間や反政府活動の肥沃な土地として知られている場所で反乱を扇動したとして非難されています。このような影響が、2019年12月31日から2020年1月2日の間にイラクの米国大使館で行われた暴力的な抗議行動の動機となった可能性があります。報告によると、これらの抗議行動は、アル・ムハンディス率いるイラン支援の代理勢力、カタイブ・ヒズボラの支持者によって実行されました。
- イランはまた、地域の石油・ガスインフラに対する妨害行為を支援したとして非難されています。2019年を通じて、イランはイエメンの同盟国であるフーシ派の反政府勢力(Ansar Allah)との協調攻撃、サウジアラビアの石油・ガスインフラに対する攻撃に関連していると報告されています。バーレーンでは、 イランは多数のシーア派民兵グループを支援しているとされており 、2017年11月にバーレーンの石油・ガスインフラに対する注目を集めた攻撃に関連しているとされています。
イランには、米国、地域のパートナー、および西側の利益に対する対応に関与する可能性のある、非常に有能なコンピューターネットワーク運用チームが多数あります。 Recorded Futureは、スパイ活動から得た以前のアクセスが、これらの報復行動を促進する可能性が非常に高いと考えています。 最も注目すべきは、イランのチームが以前のエスカレーションで破壊的なサイバー能力を使用したことであり、これは同様の状況でそのようなマルウェアを展開する意欲と能力の両方を示していると評価しています。 イランの攻撃者は、Webシェル、パスワードスプレー、カスタムマルウェアとコモディティマルウェアの組み合わせを使用して、ターゲット環境にアクセスすることも知られています。 これまでのサイバー対応シナリオでは破壊的なマルウェアが使用されていたにもかかわらず、米国の空爆によるソレイマニ司令官の死は特異な状況であり、イランがどのサイバー能力を米国のどの地域やパートナーの利益に対して活用する可能性が高いかについて、私たちの評価に大きな不確実性をもたらしています。
2019年6月、Recorded Future米国の産業、重要インフラ、政府エンティティを標的としたAPT33マルウェアの活動を観測しました。これに続いて、6月22日、ドナルド・トランプ米大統領は、ペルシャ湾の緊張が高まる中、政権がイランのミサイルシステムに対してサイバー攻撃を行ったと 述べ た。イランはまた、湾岸で日本の石油タンカーに リンペット機雷 を設置し、地域の緊張を煽ったとして 告発 された。当時、2019年6月、米国サイバーセキュリティ・インフラセキュリティ庁は、ワイパーマルウェアを標的に展開するイラン関連の攻撃者が増加していると報告しました。しかし、NSAの脅威オペレーションセンター技術責任者は、イランの攻撃者は破壊ではなくスパイ活動に焦点を当てた通常の情報収集活動を続けていると 述べ た。
以前のアクセスとツールがサイバーレスポンスを危険にさらす可能性があります
Recorded Futureは、緊張が高まっているこの時期に、イランの脅威アクターが米国の産業、重要インフラ、政府機関を引き続き標的にすると予想しています。 イランの攻撃者は、サイバースパイ目的で米国内の政府、軍隊、および商業組織を引き続き標的にすると評価していますが、ペルシャ湾地域の組織は破壊的なサイバー攻撃のリスクが最も高いと評価しています。 さらに、イランの攻撃者であるAPT33、APT34(別名OilRig)、またはMUDDYWATERも、サイバースパイ活動において中東の米国の同盟国やパートナーを標的にする可能性が高いと判断しています。 カスタムツールとコモディティツールが混在し続けることが予想され、特に疑わしいPowershellとWMICベースの動作を監視することをお勧めします。
- MUDDYWATERの攻撃者は、政治的なスピアフィッシングやマクロ、または盗んだ認証情報を使用して、マルウェアをドロップし、情報を盗んできました。MUDDYWATER は、POWERSTATS と呼ばれる Powershell ベースのバックドアに大きく依存しています。MUDDYWATERは、POWERSTATS を配布 するための プロキシ として、およびコマンド&コントロール(C2)の目的で使用される侵害 、ハッキング サードパーティドメインを利用します。
- APT33は、現在中東で活動している最も活発なグループの1つであり、その戦術を継続的に修正し、被害者を危険にさらすためのさまざまなツールや手法を追求する能力を示しています。 このアクターは、POWERTONなどのカスタムマルウェアツールキットのさまざまなツールを使用する一方で、njRAT、Powershell Empire、Nanocore、PupyRATなどのオープンソースのリモートアクセストロイの木馬(RAT)にも大きく依存しています。
- APT39は、主に電気通信セクターをターゲットにしたChaferおよびRemexiトロイの木馬ファミリーを活用し、さらに旅行業界をターゲットにし、IT企業を支援しています。私たちは、このグループが電気通信と旅行に主に焦点を当てていることは、特定の個人を監視することと、国の優先事項に関連する戦略的要件を満たす商業的または運用目的で専有データまたは顧客データを収集することの両方に関心があることを示していると評価しています。FireEye の研究者らは、APT39 の運用は、中東を標的にするパターン、インフラストラクチャ、タイミングの点で APT34 (OilRig) の運用と類似していると指摘しています。具体的には、APT39とAPT34はどちらも同じマルウェアの配布方法、インフラストラクチャの命名法、および標的の重複を共有しています。
- Lab Dookhtegan のリークでは、APT34 のカスタム ツール ( PoisonFrog、Glimpse、Hypershell、HighShell、Fox Panel、Webmask) が紹介されました。PoisonFrog インプラントは、VBS バックドアをプルダウンする Powershell ベースのダウンローダーです。Chronicle と Palo Alto の評価によると、PoisonFrog は FireEye、Booz Allen、Palo Alto の Unit 42 によって以前に分析された BONDUPDATER バックドアであることが示されています。Webmask は、 Cisco Talos が公開した DNSpionage DNS ハイジャック キャンペーンの一部である可能性があります。
APT33、APT34、およびAPT35によって実施された以前の資格情報収集活動は、標的環境への初期アクセスを取得するために使用される可能性があると評価しています。 最近の注目すべきイベントは次のとおりです。
- 2019年10月、APT33は米国および世界中の産業用制御システム(ICS)ハードウェアおよびソフトウェアベンダーに特別な関心を持ち、これらの組織に対して集中的なパスワードスプレーキャンペーンを実施したと伝えられています。攻撃者は通常、一度に50,000〜70,000の組織を標的にし、少数の選択 認証情報 各組織へのアクセスを試みます。 この標的の範囲は2019年10月から11月にかけて大幅に縮小され、APT33は月に約2,000の組織のみ を標的に し、各組織の18〜20のアカウントでさまざまなパスワードの組み合わせを使用しようとし、900%増加したとされています。パスワードスプレーとホスト上のアクティビティで使用されるコマンドは、この GitHubにあります。
- 同様に、 FireEye は、標的型スピアフィッシングキャンペーンで、認証情報を盗むマルウェアファミリーLONGWATCH、VALUEVAULT、TONEDEAFを使用したAPT34も発見しました。これらのマルウェア ファミリは主に、標的となった個人から認証情報。 攻撃者は、悪意のあるリンクを含むLinkedInメッセージを使用して、VBAマクロを使用してマルウェアファミリをダウンロードする正規のデータシートをダウンロードするように被害者を誘導しました。
- 水飲み場攻撃、フィッシングメール、偽のソーシャルメディアプロフィールによるAPT35(Newscaster、PHOSPHORUS)の認証情報収集から収集されたデータも利用される可能性があります。2019年10月4日、Microsoftは、2019年8月から9月までの30日間、APT35が2,700回の米国大統領キャンペーン(後にトランプキャンペーンとして特定)を侵害、ハッキングしようと試みたことが観察されたことを明らかにしました。 このグループは241の電子メールアカウントを 標的に し、米国政府関係者やキャンペーンとは関係のない4つのアカウントを侵害、ハッキングすることに成功しました。
- SeaTurtle や DNSpionage/APT34 クラスターからの DNS ハイジャック活動から収集した以前のアクセスや情報も、さらなる情報収集を促進する可能性があります。
破壊的なマルウェア
APT33 と APT34 は、Shamoon、DEADWOOD、ZeroCleare を使用した石油・ガスセクターに対する破壊的なマルウェア攻撃と関連付けられています。
- 2019年後半にバージニア州アーリントンで開催されたCYBERWARCONカンファレンスでのプレゼンテーションで、Microsoftのアナリストは、2019年6月にAPT33がDEADWOODと呼ばれる破壊的なマルウェアファミリーをサウジアラビアのVPNサーバーにドロップしたことについて議論しました。 Recorded Future では、Microsoft が説明しているマルウェア ファミリに関する洞察を提供することはできません。 しかし、2019年6月22日、VirusTotalにアップロードされたファイルにワイパーのフラグが付けられました。後に、ユーザー「THORスキャナー」によって、中東で使用されるワイパーとしてフラグが立てられました。 このファイル (857ef30bf15ea3da9b94092da78ef0fc) が問題のワイパーである可能性があります。
- 2012年、APT33は破壊的なマルウェアShamoon を展開 し、他のイランと関係のあるAPTグループとともに、2018年12月にイタリアの石油化学請負業者であるSAIPEMに対する 作戦 に参加した疑いがあります。
- 2019年12月初旬、IBMのX-Force Incident Response and Intelligence Services(IRIS)は、中東のエネルギーおよび産業セクターを標的に観察されたワイパーマルウェア「ZeroCleare」の発見を発表しました。 IBM IRISによると、APT34(OilRig)はZeroCleareのデプロイメントに関与していた可能性が高いとのことです。 IBM IRISの研究者は、発見の取り組み中に、ZeroCleareがShamoonマルウェアと共通の特性、特にZeroCleareマルウェアがマスターブートレコード(MBR)とWindowsマシンのディスクパーティションを上書きする点を発見しました。
- 「Dustman」と名乗った最近のサンプルの分析により、ZeroCleare との 類似点 が明らかになり、同じ生のディスク ドライバーを使用して反サウジのメッセージが含まれていました。ただし、サンプルには、必要なすべてのツールが 1 つの実行可能ファイルにバンドルされていました。このサンプルには反サウジのメッセージが含まれており、反サウジのミューテックス(「ビン・サルマンを打倒する」)がドロップされた。
ナショナリズムと親体制のハクティビズム
イラン政権は、スレイマニ将軍殺害に対する対応を熟考するのに時間を費やす可能性が高いと評価している。これとは対照的に、親政権派の(政府主導ではない)サイバーアクターは、破壊的な活動を継続する可能性が高い。Recorded Futureは、スレイマニ氏の死のニュースが報じられてから数時間以内に、米国政府機関 に対する ものを含め、ハクティビストによる 改ざん 活動が行われていることを認識している。さらに、IRGC支持者の間で偽情報 が拡散 されていることも観察しました。ハクティビスト勢力間のおしゃべりを観察した結果、保護が緩いWebサイト、サーバー、データベースなど、よりソフトなターゲットに対して攻撃がエスカレートする可能性が高いと評価しています。
攻撃者が犯罪行為を装って SamSam ランサムウェアや同様のキャンペーンを展開することは可能性の領域外ではありません。この2人の行為者がイラン政府と提携していたことを示唆する証拠はないが、テヘランは間違いなくこれらの作戦とその手段を認識している。
今後の展望
我々は、イランがカセム・スレイマニ将軍の殺害に対して、スパイ活動や破壊工作の形をとる可能性が高い動的な攻撃ではなく、サイバー攻撃により積極的に対応する可能性があると評価しています。
このサイバー対応は、おそらくいくつかの非対称的な対策の1つと考えられるものですが、イランの諜報機関や軍事グループ、その請負業者、またはその他の代理人によって直接実施される可能性があります。これらの措置は、過去のアクセスやスパイ活動で得られた情報に基づいて行われる可能性が非常に高いです。これらの侵入を特定し、他の日和見的な侵入と区別することは、おそらく難しいでしょう。
さらに、ロシアの国家支援グループがイランのインフラを ハイジャック し、サイバー作戦に 利用 した最近の文書化された事例は、イランのスパイ活動や破壊活動の追跡と帰属にさらなる不確実性をもたらしている。このインフラストラクチャの乗っ取りと不確実性の増大により、インシデントが誤って帰属し、エスカレーションとして誤って解釈される可能性があると評価しています。中東には、米国とそのパートナー、イランとその代理人だけでなく、より多くの利害関係者がいる。イランを装ったロシアの作戦を通じてさらなる不確実性が注入されれば、サイバー侵入を受けて混乱や混乱の雰囲気が漂う可能性がある。これは、ロシアがイランのサイバー作戦インフラを侵害、ハッキングしている程度がわからないため、誤った帰属と誤ったエスカレーションの可能性を高めます。
推奨される軽減策
- APT33 は引き続きダイナミック DNS (DDNS) ホスティングを優先しています。Recorded FutureのWeaponized Domainsセキュリティコントロールフィードを使用して、これらのドメインを特定してブロックできます。
- Recorded Futureは、悪意のあるサーバー設定をプロアクティブに検出し、コマンドアンドコントロールセキュリティコントロールフィードに記録します。
- Recorded Futureは、組織に対して、同じIPから異なるアカウントに対する連続したログイン試行を監視することを推奨しています。 この種の活動は、従来のブルートフォースよりも検出が困難ですが、APT33が好む戦術から組織を保護するのに役立ちます。
- 多要素認証の導入は、歴史的に高いレベルのクレデンシャルスタッフィングやパスワードスプレー攻撃を経験してきた多くの組織にとって、非常に効果的な緩和策であることが証明されています。
- 犯罪組織のアンダーグラウンドコミュニティを監視して、組織を標的とした新しい設定ファイルが利用可能かどうかを確認し、それらのファイルを取得して、追加の攻撃指標がないか徹底的に分析します。
- エンドユーザーは、パスワードマネージャーを使用し、オンラインアカウントごとに一意の強力なパスワードを設定することで、パスワードスプレーの被害に遭うリスクを減らすことができます。
- 会社の従業員向けのソーシャルエンジニアリングトレーニングは、パスワードスプレーや攻撃を行うために使用される情報を開示することにより、組織にもたらされる脅威を軽減するのに役立ちます。
- ログ分析 (IDS を使用) は、複数のユーザー アカウント間で失敗したログイン試行の特定に役立ちます。 ログデータの相互参照は、高頻度のロックアウト、未承認のリモートアクセスの試み、複数のユーザーアカウント間での一時的な攻撃の重複、および一意のWebブラウザエージェント情報のフィンガープリントを含むインシデントを検出するのに役立つ場合があります。