イラン革命防衛隊長官の死に対するイランのサイバー対応は、報告されたTTPと以前のアクセスを使用する可能性が高い

Recorded FutureのInsikt Group®は、カッセム・スレイマニの殺害に対するイランの反応の可能性を分析するために、入手可能な情報を検討した。 このレポートは、サイバーベースの報復に関与している可能性のある戦術、ツール、およびグループをまとめるのに役立ちます。

この報告書は、特にペルシャ湾での緊張の高まりや、中東の地政学的出来事に続く人々を受けて、イランの国営グループに標的にされることを懸念する組織にとって、最も興味深いものとなるだろう。

Insikt Groupは、これらのインシデントを取り巻く新たな知見や、それに関連するサイバー脅威活動が検出された場合、最新情報を提供します。 イランが国家主導のサイバー作戦をどのように管理しているか、また、国家が支援するハッカーや愛国的なハッカーの歴史に関するその他の背景については、これらのリンクを参照してください。ソースには、Recorded Future® Platform やその他のオープン ソースで公開されているインテリジェンスが含まれます。

Executive Summary

1月3日早朝、イランのイスラム革命防衛隊コッズ部隊(IRGC-QF)のカセム・スレイマニ司令官、イラクのアブ・マフディ・アル・ムハンディス人民動員軍(PMF)副司令官、その他数人が、イラクのバグダッド国際空港近くで米軍のミサイル攻撃を受け、死亡した。特にスレイマニとアル・ムハンディスの死は、イランとその同盟国からの反撃を引き起こす可能性が極めて高く、これには、イランの軍事資産とその同盟民兵が、中東の地域的に米国やパートナーの政府や企業の利益に対して実行する報復的な非対称措置のパターンが含まれる可能性があると我々は評価している。

背景

2020年1月2日(米国東部時間)の深夜、 報道 によると、イラクのバグダ ッド国際空港近くで米国のミサイル攻撃が行われたことが明らかになった。 空爆により、イランのイスラム革命防衛隊コッズ部隊(IRGC-QF)のカセム・スレイマニ司令官や、人民動員軍(PMF)と呼ばれるイラク民兵組織のアブ・マフディ・アル・ムハンディス副司令官など、数人が死亡した。 殺害されたとされる人々の中には、PMFの広報責任者であるモハメド・リダ・ジャブリ(Mohammed Ridha Jabri)氏を含む、PMFの代表者も数人含まれていた。 米国 防総省の声明やイラン政府の 報道機関の報道によると、攻撃はスレイマニ氏と確認されており、スレイマニ氏が攻撃の標的であったことが明らかになった。

脅威分析

Insikt Groupは、特にスレイマニの死は、イランの軍事資産、代理人、またはその同盟民兵が中東の米国政府や企業の利益、およびサウジアラビアなどの米国の地域パートナーに対して実行する報復的な非対称措置を含む複数のシナリオを含む、イラン政府からの反応を引き起こす可能性が高いと評価しています。 アラブ首長国連邦(UAE)、イスラエル。

本稿執筆時点で、Recorded Futureは、イランの 軍事、 外交、 政治 指導者が報復攻撃を行うという満場一致の反応を観察しているが、そのような声明には、いつ、どのように、どこで反撃が行われるかについての詳細は含まれていない。 2020年1月3日、イランの最高指導者アリ・ハメネイ師は、スレイマニ氏に対する攻撃を主導した者たちに「厳しい復讐」が待ち受けていると 宣言 し、戦死したIRGC-QF司令官を追悼するために3日間の 国家的な追悼 を開始した。 1月5日、イラン最高指導者の軍事顧問、ホセイン・デフガン少将は、イランの対応は「確実に軍事的」で、アメリカの「軍事施設」に向けられるだろうと述べた。

報復の必要性を読む

Over the past few years, General Soleimani has reportedly enjoyed widespread domestic support, due in part to the notion that he was responsible for the strategies that shielded the country from terrorist attacks and threats posed by the Islamic State (IS) group. Several reports have suggested that Soleimani’s death has led to a distinct call for retaliation, which is uncommon in recent Iranian military history, except in cases where extreme acts of violence have impacted government or Iranian military personnel. Examples of this include the June 2017 IS attack against the Iranian parliament, and the August 2017 beheading of an IRGC officer, Mohsen Hojaji, by IS. The former led to a ballistic missile attack against IS, while the IRGC officer Hojaji became a symbol in the fight against IS. At the time, Soleimani, among many senior IRGC officials, spearheaded the response to Hojaji’s death.

ソレイマニの死に対してイランが追求する可能性のある、より計算されたアプローチを示していると私たちが考える歴史的な例の一つは、1998年のアフガニスタン・タリバンによるイラン外交官の殺害である。 1998年、アフガニスタンのタリバンによって、約12人のイラン外交官が殺害され、この事件がタリバン集団に対する大衆の抗議を引き起こし、約 20万人 のイラン軍が 動員された 。ランド研究所の調査は、 アフガニスタン 危機に対処するためのイラン政府内の実際的な意思決定プロセスを描いている。 IRGCと急進的な政治戦線が彼らのイデオロギー的な宿敵に対して軍事的に関与するという強硬な利益にもかかわらず、最高指導者ハメネイは代わりに「戦争のリスクなし」の対応を選んだ。 同様に、2020年1月5日、ハメネイ師の最高顧問である革命防衛隊のホセイン・デガン(Hossein Dehgan)将軍は、イランはソレイマニの殺害に対して 軍事 的に対応するが、戦争は求めないと主張した。

インシクト・グループは、イランがソレイマニ司令官の死による圧力を相殺する必要性とバランスを取りながら、米国との直接的な軍事的関与の可能性をさらに高めることから、慎重な非対称的な対応を追求する可能性が高いと評価している。

最近の非対称報復攻撃の例

イランまたはイランが支援する軍隊が過去に行ったと疑われる報復措置には、以下が含まれますが、これらに限定されません。

• 2019年を通じて、IRGC-QFは、アブカイクとクライスにあるサウジアラビアの石油施設へのミサイル攻撃や、スウェーデン所有の石油タンカー「ステナ・インペロ」の拿捕と徴発の背後にいると疑われていた。
• イランは、 バーレーンなど、宗派間や反政府活動の温床として知られる場所で反乱を扇動するために、シーア派集団に対する影響力を行使したと非難されている。 この種の影響が、2019年12月31日から2020年1月2日にかけてイラクの米国大使館で行われた暴力的な抗議行動の動機となった可能性が高い。 報道によると、これらの抗議行動は、アル・ムハンディスが率いるイランが支援する代理勢力である カタイブ・ヒズボラの支持者によって実行されたとされている。
• イランはまた、地域の石油・ガスインフラに対する破壊工作を支援したとして非難されている。 2019年を通じて、イランがイエメンの同盟者であるフーシ派反政府勢力(アンサール・アラー)との組織的な攻撃、サウジアラビアの石油・ガスインフラに対する攻撃に関与しているとの報告がなされてきた。 バーレーンでは、イランは多数のシーア派民兵組織を支援しているとされており、2017年11月にバーレーンの石油・ガスインフラに対する注目を浴びた攻撃に関与したとされている。

イランには、米国、地域のパートナー、および西側の利益に対する対応に関与する可能性のある、非常に有能なコンピューターネットワーク運用チームが多数あります。 Recorded Futureは、スパイ活動から得た以前のアクセスが、これらの報復行動を促進する可能性が非常に高いと考えています。 最も注目すべきは、イランのチームが以前のエスカレーションで破壊的なサイバー能力を使用したことであり、これは同様の状況でそのようなマルウェアを展開する意欲と能力の両方を示していると評価しています。 イランの攻撃者は、Webシェル、パスワードスプレー、カスタムマルウェアとコモディティマルウェアの組み合わせを使用して、ターゲット環境にアクセスすることも知られています。 これまでのサイバー対応シナリオでは破壊的なマルウェアが使用されていたにもかかわらず、米国の空爆によるソレイマニ司令官の死は特異な状況であり、イランがどのサイバー能力を米国のどの地域やパートナーの利益に対して活用する可能性が高いかについて、私たちの評価に大きな不確実性をもたらしています。

2019年6月、Recorded Futureは、米国の産業、重要インフラ、政府機関を標的としたAPT33マルウェアの活動を観測しました。これに続いて6月22日、ドナルド・トランプ米大統領は、ペルシャ湾の緊張が高まる中、政権がイランのミサイルシステムに対してサイバー攻撃を行った と述べた 。 イランはまた、湾岸の日本の石油タンカーに リムペット機雷 を仕掛け、地域の緊張を煽ったと 非難 された。その時点で、2019年6月、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、ワイパーマルウェアを標的に展開するイラン関連の攻撃者が増加していると報告しました。しかし、NSAの脅威オペレーションセンターのテクニカルディレクターは、イランの攻撃者は、破壊ではなくスパイ活動に焦点を当てた通常の情報収集活動を続けている と述べた 。

以前のアクセスとツールがサイバーレスポンスを危険にさらす可能性があります

Recorded Futureは、緊張が高まっているこの時期に、イランの脅威アクターが米国の産業、重要インフラ、政府機関を引き続き標的にすると予想しています。 イランの攻撃者は、サイバースパイ目的で米国内の政府、軍隊、および商業組織を引き続き標的にすると評価していますが、ペルシャ湾地域の組織は破壊的なサイバー攻撃のリスクが最も高いと評価しています。 さらに、イランの攻撃者であるAPT33、APT34(別名OilRig)、またはMUDDYWATERも、サイバースパイ活動において中東の米国の同盟国やパートナーを標的にする可能性が高いと判断しています。 カスタムツールとコモディティツールが混在し続けることが予想され、特に疑わしいPowershellとWMICベースの動作を監視することをお勧めします。

• MUDDYWATERの攻撃者は、政治的な風味を持つスピアフィッシングやマクロ、または盗まれた認証情報を使用して、マルウェアをドロップし、情報を盗んでいます。 MUDDYWATERは、POWERSTATSと呼ばれるPowershellベースのバックドアに大きく依存しています。 MUDDYWATERは、POWERSTATSを 配布 するための プロキシ として、およびコマンドアンドコントロール(C2)の目的で使用される 侵害された サードパーティのドメインを利用します。
• APT33は、現在中東で活動している最も活発なグループの1つであり、その戦術を継続的に修正し、被害者を危険にさらすためのさまざまなツールや手法を追求する能力を示しています。 このアクターは、POWERTONなどのカスタムマルウェアツールキットのさまざまなツールを使用する一方で、njRAT、Powershell Empire、Nanocore、PupyRATなどのオープンソースのリモートアクセストロイの木馬(RAT)にも大きく依存しています。
• APT39は、主にChaferとRemexiのトロイの木馬ファミリーを活用し、通信セクターの人々をターゲットにしています。さらに、旅行業界やIT企業もサポートしています。 当グループは、主に通信と旅行に重点を置いていることから、特定の個人の監視と、国家の優先事項に関連する戦略的要件に対応する商業目的または運用目的での専有データまたは顧客データの収集の両方に関心があることを示していると評価しています。 FireEyeの研究者は、APT39の運用は、中東のターゲティングパターン、インフラストラクチャ、およびタイミングの点でAPT34(OilRig)の運用と似ていると指摘しています。具体的には、APT39とAPT34はどちらも、マルウェアの配布方法、インフラストラクチャの命名法、および標的の重複を共有しています。
• Lab Dookhteganのリークでは、APT34のカスタムツールである PoisonFrog、Glimpse、Hypershell、HighShell、Fox Panel、およびWebmaskが紹介されました。 PoisonFrog インプラントは、VBS バックドアをプルダウンする Powershell ベースのダウンローダーです。 ChronicleとPalo Altoの評価によると、PoisonFrogはBONDUPDATERのバックドアであり、以前にFireEye、Booz Allen、Palo AltoのUnit 42によって分析されました。ウェブマスクは、 Cisco Talosが公開したDNSpionage DNSハイジャックキャンペーンの一部である可能性があります。

APT33、APT34、およびAPT35によって実施された以前の資格情報収集活動は、標的環境への初期アクセスを取得するために使用される可能性があると評価しています。 最近の注目すべきイベントは次のとおりです。

• 2019年10月、APT33は、米国および世界中の産業用制御システム(ICS)ハードウェアおよびソフトウェアベンダーに特別な関心を寄せ、これらの組織に対して集中的なパスワードスプレーキャンペーンを実施したと報じられています。 攻撃者は通常、一度に50,000から70,000の組織を標的にし、各組織へのアクセスを試みるために少数の資格情報を選択しました。 このターゲティングの範囲は2019年10月から11月にかけて大幅に縮小され、APT33は月に約2,000の組織のみを 標的 とし、各組織の18〜20のアカウントでさまざまなパスワードの組み合わせを使用しようと試み、900%増加しました。 パスワード スプレーとホスト上のアクティビティで使用されるコマンドは、この GitHub にあります。
• 同様に、 FireEye は、標的型スピアフィッシングキャンペーンで、認証情報を盗むマルウェアファミリーであるLONGWATCH、VALUEVAULT、TONEDEAFを使用してAPT34を発見しました。 これらのマルウェアファミリーは、主に標的となる個人から資格情報を収集しようとしていました。 攻撃者は、悪意のあるリンクを含むLinkedInメッセージを使用して、VBAマクロを使用してマルウェアファミリをダウンロードする正当なデータシートをダウンロードするように被害者を誘導しました。
• APT35(Newscaster、PHOSPHORUS)のクレデンシャルハーベスティングから、水飲み場型攻撃、フィッシングメール、偽のソーシャルメディアプロファイルを通じて収集されたデータも活用される可能性があります。 2019年10月4日、マイクロソフトは、2019年8月から9月までの30日間に、APT35が現職および元米国政府高官、政治ジャーナリスト、および「著名な」イラン人駐在員を標的にしただけでなく、後にトランプ陣営と特定された米国大統領選挙運動への侵入を2,700回試みたことを明らかにしました。 このグループは241の電子メールアカウントを 標的 にし、米国政府関係者やキャンペーンとは関係のない4つのアカウントを侵害することに成功しました。
• SeaTurtle や DNSpionage/APT34 クラスターからの DNS ハイジャック活動から収集された以前のアクセスや情報も、さらなる情報収集を促進する可能性があります。

破壊的なマルウェア

APT33 と APT34 は、Shamoon、DEADWOOD、ZeroCleare を使用した石油・ガスセクターに対する破壊的なマルウェア攻撃と関連付けられています。

• 2019年後半にバージニア州アーリントンで開催されたCYBERWARCONカンファレンスでのプレゼンテーションで、Microsoftのアナリストは、2019年6月にAPT33がDEADWOODと呼ばれる破壊的なマルウェアファミリーをサウジアラビアのVPNサーバーにドロップしたことについて議論しました。 Recorded Future では、Microsoft が説明しているマルウェア ファミリに関する洞察を提供することはできません。 しかし、2019年6月22日、VirusTotalにアップロードされたファイルにワイパーのフラグが付けられました。後に、ユーザー「THORスキャナー」によって、中東で使用されるワイパーとしてフラグが立てられました。 このファイル (857ef30bf15ea3da9b94092da78ef0fc) が問題のワイパーである可能性があります。
• 2012年、APT33は破壊的なマルウェアShamoon を展開し 、他のイラン関連のAPTグループとともに、2018年12月にイタリアの石油化学請負業者SAIPEMに対する 作戦 に参加したと疑われています。
• 2019年12月初旬、IBMのX-Force Incident Response and Intelligence Services(IRIS)は、中東のエネルギーおよび産業セクターを標的に観察されたワイパーマルウェア「ZeroCleare」の発見を発表しました。 IBM IRISによると、APT34(OilRig)はZeroCleareのデプロイメントに関与していた可能性が高いとのことです。 IBM IRISの研究者は、発見の取り組み中に、ZeroCleareがShamoonマルウェアと共通の特性、特にZeroCleareマルウェアがマスターブートレコード(MBR)とWindowsマシンのディスクパーティションを上書きする点を発見しました。
• 「Dustman」と名乗った最近のサンプルの分析により、ZeroCleareとの 類似性 が明らかになり、同じ生のディスクドライバーを使用して反サウジメッセージングが含まれていました。ただし、このサンプルには、必要なすべてのツールが 1 つの実行可能ファイルにバンドルされていました。 サンプルには反サウジのメッセージが含まれ、反サウジのミューテックス(「Down With Bin Salman」)がドロップされました。

ナショナリズムと親体制のハクティビズム

イラン政権は、スレイマニ将軍の殺害への対応を考えるのに時間がかかる可能性が高いと私たちは評価しています。 これとは対照的に、政権支持派(ただし政府主導ではない)のサイバーアクターは、破壊的な活動を続ける可能性が高いです。 Recorded Futureは、スレイマニ氏の死が報じられてから数時間以内に、米国政府機関 に対する ものを含め、ハクティビストによる 改ざん 行為が発生していることを認識しています。さらに、IRGCの支持者の間で偽情報が 拡散 していることも確認しました。 ハクティビスト勢力の議論を観察した結果、攻撃は、保護が緩いWebサイト、サーバー、データベースなど、よりソフトなターゲットに対してエスカレートする可能性が高いと評価しています。

攻撃者が犯罪行為を装って SamSam ランサムウェアまたは同様のキャンペーンを展開する可能性はゼロではありません。 この二人のアクターがイラン政府と関係していたことを示す証拠はないが、テヘランがこれらの作戦とその手段を認識していることは間違いない。

今後の展望

我々は、イランがカセム・スレイマニ将軍の殺害に対して、スパイ活動や破壊工作の形をとる可能性が高い動的な攻撃ではなく、サイバー攻撃により積極的に対応する可能性があると評価しています。

このサイバー対応は、おそらくいくつかの潜在的な非対称的対抗策の1つであり、イランの諜報機関や軍事グループ、 その請負業者、またはその他の代理人によって直接実行される可能性があります。 これらの措置は、スパイ活動から得た以前のアクセスと情報によって促進される可能性が非常に高いです。 これらの侵入を他の日和見的な侵入と区別することは、おそらく困難であることが証明されるでしょう。

さらに、最近文書化されたロシアの国家支援グループがイランのインフラ をハイジャック し、サイバー作戦に 利用 した事例は、イランのスパイ活動や破壊的な活動を追跡し、その原因を特定することにさらなる不確実性をもたらしている。 このようなインフラの乗っ取りと不確実性の増大により、インシデントが誤って帰属し、誤ってエスカレーションと解釈される可能性が高まっていると評価しています。 中東には、米国とそのパートナー、イランとその代理人だけでなく、多くの利害関係を持つ側が存在する。イランを装ったロシアの作戦を通じてさらなる不確実性が注入されると、サイバー侵入後の混乱や混乱の雰囲気を助長する可能性があります。 これは、ロシアがイランのサイバー作戦インフラをどの程度侵害したかわからないため、誤った帰属や誤ったエスカレーションの可能性を高めます。

推奨される軽減策

• APT33 は引き続きダイナミック DNS (DDNS) ホスティングを優先しています。Recorded FutureのWeaponized Domainsセキュリティコントロールフィードを使用して、これらのドメインを特定してブロックできます。
• Recorded Futureは、悪意のあるサーバー設定をプロアクティブに検出し、コマンドアンドコントロールセキュリティコントロールフィードに記録します。
• Recorded Futureは、組織に対して、同じIPから異なるアカウントに対する連続したログイン試行を監視することを推奨しています。 この種の活動は、従来のブルートフォースよりも検出が困難ですが、APT33が好む戦術から組織を保護するのに役立ちます。
• 多要素認証の導入は、歴史的に高いレベルのクレデンシャルスタッフィングやパスワードスプレー攻撃を経験してきた多くの組織にとって、非常に効果的な緩和策であることが証明されています。
• 犯罪組織のアンダーグラウンドコミュニティを監視して、組織を標的とした新しい設定ファイルが利用可能かどうかを確認し、それらのファイルを取得して、追加の攻撃指標がないか徹底的に分析します。
• エンドユーザーは、パスワードマネージャーを使用し、オンラインアカウントごとに一意の強力なパスワードを設定することで、パスワードスプレーの被害に遭うリスクを減らすことができます。
• 会社の従業員向けのソーシャルエンジニアリングトレーニングは、パスワードスプレーや攻撃を行うために使用される情報を開示することにより、組織にもたらされる脅威を軽減するのに役立ちます。
• ログ分析 (IDS を使用) は、複数のユーザー アカウント間で失敗したログイン試行の特定に役立ちます。 ログデータの相互参照は、高頻度のロックアウト、未承認のリモートアクセスの試み、複数のユーザーアカウント間での一時的な攻撃の重複、および一意のWebブラウザエージェント情報のフィンガープリントを含むインシデントを検出するのに役立つ場合があります。