オリンピック競技大会のITインフラのターゲットは不明

Click here to download the complete analysis as a PDF.

Executive Summary

大手通信およびITプロバイダーが、平昌オリンピックの妨害を目的とした作戦の一環として、未知の脅威アクターに狙われました。 Recorded Futureは、このキャンペーンで使用されたOlympic Destroyerマルウェアに埋め込まれたITプロバイダーのハードコードされた資格情報を特定しました。 少量のコード重複により、マルウェアは多数の異なる脅威グループに結び付けられ、最終的にはOlympic Destroyerマルウェアの開発に関与した脅威アクターを特定するのに役立ちません。

背景

2017年12月以前に開催された平昌オリンピックを標的にした際、大手通信およびITプロバイダーが未知の脅威アクターに狙われました。

一般にOlympic Destroyerと呼ばれるこのマルウェアは、Talosの 研究者によって最初に特定されました。 研究者たちは、オリンピック・デストロイヤーが2月9日のオリンピック開会式を 妨害するために 使用されたと理論づけている。 この破壊的なマルウェアは、Psexec や WMI を介してネットワーク内を横方向に移動し、ホストに感染してデータを無用にします。 Psexec と WMI は、組み込みの Windows 内部ツールです。Psexec は共有ネットワーク内の他のシステムでプロセスを実行するために使用され、WMI はリモート システムでのタスクを自動化するために使用されます。 また、このマルウェアは、パスワード窃取ツールであるMimikatzを使用して、侵害されたマシンから認証情報を抽出し、ターゲットネットワーク上を移動することも可能にします。 Microsoftの研究者 は、最近ランサムウェアによって伝播方法として悪用されたリークされたエクスプロイトであるEternalRomanceが使用されている証拠もあると述べていますが、この主張を確認することはできませんでした。

脅威分析:2つのキャンペーン

Recorded Futureは、追加のActive Directory資格情報セットを使用して、平昌オリンピックを標的とする拡張マルウェアのセットを発見しました。 資格情報の多様性とソフトウェアキーの存在は、初期の偵察フェーズでは、単純な資格情報のフィッシングだけでなく、最初のマルウェア感染が含まれる可能性が高いことを示唆しています。

このITプロバイダーを標的とするOlympic Destroyerマルウェアの亜種のすべてのサンプルは、Talosの研究者が平昌2018ネットワークを標的と特定したサンプルがコンパイルされる5分前にタイムスタンプが付けられていました。 これは、オリンピックの種目を標的にしようとする、主催者とインフラプロバイダーの両方を狙った、並行して2つの試みが行われていることを示唆しています。

報告されていないその他のマルウェアハッシュについては、以下の付録に記載されています。

テクニカル分析:アトリビューションは依然として不明

現在、先進的な研究チームが採用している最も革新的な手法の1つは、大規模なコードの類似性を探すことです。 Googleの研究者は、この手法を最初に採用して、北朝鮮の脅威アクターであるScarcruftや WannaCry のような 、これまで原因不明のキャンペーンをクラスター化 し、最終的に両者をLazarus Groupに結びつけました。BAEの研究者は、バングラデシュのSWIFT強盗で使用されたBlueNoroffが使用したマルウェアの最初の重複 を発見し 、共有ワイプ機能の使用に注目し、再び北朝鮮を名指ししました。 Kasperskyの研究者は、この方法を使用して、 CCleanerを標的とするトロイの木馬 をAxiomグループに関連付けました。

この手法の問題点は、コードの類似性は、共有されるバイト数の割合まで確実に記述できる一方で、結果は単純ではなく、専門家の解釈が必要であることです。 Olympic Destroyerマルウェアは、類似性の基準が低すぎる場合に、このクラスタリング手法によってどのように道を踏み外すかを示す完璧な例です。

Olympic Destroyerは、クラスター化されておらず、帰属もされていません。 この手法には依然として専門家の解釈が必要なため、カジュアルな分析や不完全な分析では、北朝鮮、中国、ロシアの方向を指し示すなど、一見まとまりのある物語が生まれる可能性があります。 これは、相関しきい値が十分に低い値でコードが見られた場合に発生します。

以下は、コード類似性分析に基づくOlympic Destroyerマルウェアから得られたいくつかの異なる観察結果です。

中国:Intezerの研究者は、APT3(UPS)、APT10(menuPass)、APT12(IXESHE)など、一般的な中国のクラスターにおけるさまざまな脅威アクターとの コードの類似性の断片 を最初に指摘しました。

北朝鮮：当社の独自調査の結果、Olympic DestroyerモジュールとLazarus Groupが使用するいくつかのマルウェアファミリーの間には、些細ながらも一貫したコードの類似性があることが判明しました。これらには、BlueNooroff Banswiftマルウェア内の標準ではあるものの異なる機能、Novetta BlockbusterレポートにあるLazarusマルウェアのLimaCharlieファミリー、ドメインコントローラーを標的とするLazarus SpaSPEマルウェアのモジュールが含まれます。

これらの多種多様な脅威アクターが、オリンピックを混乱させようとする悪意の枢軸を形成したと結論付ける前に、一歩下がって私たちの研究手法を振り返る必要があります。

コードの類似性は、歴史的に、新しいキャンペーンを既知の脅威アクターにクラスタリングする重要な研究結果をもたらしており、研究とマルウェアの分類に大きな期待が寄せられています。 ただし、類似性のしきい値が非常に低く、いくつかの機能に焦点を当てる場合、またはそれ以下に焦点を当てる場合は、精査と識別が必要です。 これまでのアトリビュータリー手法と同様に、研究者は、敵の適応性という迫り来る脅威に常に警戒する必要があります。

イスラエルの国家が支援する脅威アクターであるFlameは、以前は理論上の 暗号攻撃 を利用して横方向に拡散しました。 脅威グループのTurlaは、被害者のマシンに無関係のマルウェアを配置することでインシデント対応者を迷わせ、Lambertsは正確なクラスタリングを回避するために、暗号化キーとして使用するためにランダムでクリーンなコードをスプライスしました。 我々の敵は機知に富んでいる。 コードの類似性クラスタリングを欺くには多大な努力とスキルが必要ですが、適切な動機を持つ断固とした高レベルの攻撃者にとっては可能だと考えなければなりません。

今後の展望

平昌冬季オリンピックを妨害する作戦は、当初報じられていたよりも大規模で、主催者とインフラの両方が同時に標的にされていた。 マルウェアに組み込まれた豊富な拡散メカニズムは、これらのネットワーク内で拡散し、最大の損害を引き起こすための積極的な取り組みを示唆しています。 マルウェア内でのコードの重複の共起は、証拠を薄め、研究者を混乱させようとする偽フラグ操作を示している可能性があります。 当面の間、帰属は決定的ではありません。

関連する侵害の兆候の完全なリストを表示するには 、付録をダウンロードしてください。