主な判断

• Olympic Destroyerは、マルウェアの破壊的な性質と横方向に広がる強力なメカニズムのため、高い懸念を持って扱う必要があります。
• Olympic Destroyerのマルウェアコードの類似性をめぐる解説と分析により、多くの手がかりが得られましたが、決定的な帰属は得られていません。
• マルウェア内で異なるコードが重複していることは、証拠を薄め、研究者を混乱させようとする偽のフラグ操作を示している可能性があります。

Executive Summary

大手通信およびITプロバイダーが、平昌オリンピックの妨害を目的とした作戦の一環として、未知の脅威アクターに狙われました。 Recorded Futureは、このキャンペーンで使用されたOlympic Destroyerマルウェアに埋め込まれたITプロバイダーのハードコードされた資格情報を特定しました。 少量のコード重複により、マルウェアは多数の異なる脅威グループに結び付けられ、最終的にはOlympic Destroyerマルウェアの開発に関与した脅威アクターを特定するのに役立ちません。

背景

2017年12月以前に開催された平昌オリンピックを標的にした際、大手通信およびITプロバイダーが未知の脅威アクターに狙われました。

一般に Olympic Destroyer と呼ばれるこのマルウェアは、当初 Talos の研究者によって特定されました。研究者らは、オリンピック・デストロイヤーが2月9日のオリンピック開会式を 妨害するために 使用されたのではないかと推測している。この破壊的なマルウェアは、Psexec と WMI を介してネットワーク内を横方向に移動し、ホストに感染し、データを役に立たなくします。Psexec と WMI は組み込みの Windows 内部ツールです。Psexec は共有ネットワーク内の他のシステムでプロセスを実行するために使用され、WMI はリモート システム上のタスクを自動化するために使用されます。このマルウェアはまた、パスワード窃取ツールであるMimikatzを使用して、認証情報を抽出します 侵害、ハッキング マシン、ターゲットネットワーク上を移動できるようにします。 Microsoftの研究者 は、最近ランサムウェアによって悪用されたリークされたエクスプロイトであるEternalRomanceを伝播方法として使用した証拠もあると述べていますが、この主張を検証することはできませんでした。

脅威分析:2つのキャンペーン

Recorded Futureは、追加のActive Directory資格情報セットを使用して、平昌オリンピックを標的とする拡張マルウェアのセットを発見しました。 資格情報の多様性とソフトウェアキーの存在は、初期の偵察フェーズでは、単純な資格情報のフィッシングだけでなく、最初のマルウェア感染が含まれる可能性が高いことを示唆しています。

このITプロバイダーを標的とするOlympic Destroyerマルウェアの亜種のすべてのサンプルは、Talosの研究者が平昌2018ネットワークを標的と特定したサンプルがコンパイルされる5分前にタイムスタンプが付けられていました。 これは、オリンピックの種目を標的にしようとする、主催者とインフラプロバイダーの両方を狙った、並行して2つの試みが行われていることを示唆しています。

報告されていないその他のマルウェアハッシュについては、以下の付録に記載されています。

注:ハードコードされた資格情報が発見されると、Recorded Futureは責任ある開示慣行を遵守し、関連するITプロバイダーに通知し、キャンペーンの詳細を提供しました。 独立した法医学的調査が進行中であり、現時点では被害は報告されていません。

テクニカル分析:アトリビューションは依然として不明

高度な研究チームが現在採用している最も革新的な手法の 1 つは、大規模なコード類似性のための (脅威の)ハンティングです。 Google の研究者は、この手法を最初に特に採用して、北朝鮮の脅威アクターである Scarcruft や WannaCry などの これまで原因不明の キャンペーンをクラスター化し、最終的に両方を Lazarus Group に結び付けました。BAE の研究者 らは、バングラデシュのSWIFT強盗事件でBlueNoroffが使用したマルウェアの重複を、共有ワイプ機能の使用に注目し、再び北朝鮮を非難した。カスペルスキーの研究者は、この方法を使用して、 CCleanerを標的とするトロイの木馬を Axiomグループにリンクしました。

この手法の問題点は、コードの類似性は、共有されるバイト数の割合まで確実に記述できる一方で、結果は単純ではなく、専門家の解釈が必要であることです。 Olympic Destroyerマルウェアは、類似性の基準が低すぎる場合に、このクラスタリング手法によってどのように道を踏み外すかを示す完璧な例です。

Olympic Destroyerは、クラスター化されておらず、帰属もされていません。 この手法には依然として専門家の解釈が必要なため、カジュアルな分析や不完全な分析では、北朝鮮、中国、ロシアの方向を指し示すなど、一見まとまりのある物語が生まれる可能性があります。 これは、相関しきい値が十分に低い値でコードが見られた場合に発生します。

以下は、コード類似性分析に基づくOlympic Destroyerマルウェアから得られたいくつかの異なる観察結果です。

中国:Intezerの研究者は、APT3(UPS)、APT10(menuPass)、APT12(IXESHE)など、一般的な中国のクラスターにおける多様な脅威アクターとの コード類似性の断片 を最初に指摘しました。

北朝鮮:私たち自身の調査により、Olympic DestroyerモジュールとLazarus Groupが使用するいくつかのマルウェアファミリーとの間に、些細ではあるが一貫したコードの類似性が判明しました。これらには、 BlueNoroff Banswift マルウェア内の標準的ではあるが異なる機能、Novetta Blockbuster レポートの Lazarus マルウェアの LimaCharlie ファミリ、ドメイン コントローラーを標的とする Lazarus SpaSpe マルウェアのモジュールが含まれます。

これらの多種多様な脅威アクターが、オリンピックを混乱させようとする悪意の枢軸を形成したと結論付ける前に、一歩下がって私たちの研究手法を振り返る必要があります。

コードの類似性は、歴史的に、新しいキャンペーンを既知の脅威アクターにクラスタリングする重要な研究結果をもたらしており、研究とマルウェアの分類に大きな期待が寄せられています。 ただし、類似性のしきい値が非常に低く、いくつかの機能に焦点を当てる場合、またはそれ以下に焦点を当てる場合は、精査と識別が必要です。 これまでのアトリビュータリー手法と同様に、研究者は、敵の適応性という迫り来る脅威に常に警戒する必要があります。

イスラエルの国民国家が支援する脅威アクターであるFlameは、以前は理論上あった 暗号化攻撃 を利用して横方向に拡散しました。脅威グループ Turla は、被害者のマシンに無関係なマルウェアを配置することでインシデント対応者を迷わせ、ランバートは正確なクラスタリングを回避するために、暗号化キーとして使用するランダムなクリーン コードをつなぎ合わせました。私たちの 攻撃者、犯罪組織 機知に富んでいます。 コード類似性クラスタリングをだますには多大な労力とスキルが必要ですが、適切な動機を持つ断固とした上位レベルの攻撃者にとってはそれが可能であると考える必要があります。

今後の展望

平昌冬季オリンピックを妨害する作戦は、当初報じられていたよりも大規模で、主催者とインフラの両方が同時に標的にされていた。 マルウェアに組み込まれた豊富な拡散メカニズムは、これらのネットワーク内で拡散し、最大の損害を引き起こすための積極的な取り組みを示唆しています。 マルウェア内でのコードの重複の共起は、証拠を薄め、研究者を混乱させようとする偽フラグ操作を示している可能性があります。 当面の間、帰属は決定的ではありません。

侵害、ハッキング、 付録をダウンロードします。