DIME MAGAZINE
チェック・ポイントの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、ウクライナの組織を標的とするロシア系APTグループ「Gamaredon」が展開する大規模な攻撃キャンペーンと、その最新ツールであるUSBワームの「LitterDrifter」を含む、同グループの諜報戦術に関する分析結果を発表した。
世界的に感染を広げるUSBワーム「LitterDrifter」
Gamaredonが用いるサイバー兵器の中でも最新のツールであるLitterDrifterは、VBSで書かれた、二重の機能を持つワームだ。
このワームの主な目的は、USBドライブを介した自動的な拡散と、柔軟性の高い複数の組み合わせを持つコマンド&コントロールサーバーとの接続の確立である。
これはGamaredonが重視する複数の目標に沿って戦略的に設計されており、これにより同グループは各ターゲットへの持続的なアクセスを維持が可能になる。
Gamaredonは主にウクライナの組織・団体を標的としているが、LitterDrifterの性質上、その活動にはグローバルな要素も含まれており、米国、ベトナム、チリ、ポーランド、ドイツ、香港などの国々でもLitterDrifterの感染の可能性が指摘されている。
この事実は、LitterDrifterが他のUSBワームと同様に当初標的とされた範囲を超えて拡散し、サイバーセキュリティに世界的規模の広範な脅威をもたらしている可能性を示唆している。
(上図)被害者の国別分布
サイバーセキュリティ専門家が警鐘を鳴らす「Gamaredon」とは
日々進化を続けるサイバー脅威状況において、特定の脅威者は大胆さや執拗さで際立った存在だ。
中でもロシアの諜報活動の分野で中心的な存在である「Gamaredon」は、別名Primitive Bear、ACTINIUM、Shuckwormとしても知られ、ウクライナの組織のみを標的としている。
ロシアに関連するサイバー諜報グループの多くが陰で活動しているのに対し、Gamaredonは大規模なキャンペーンによって目立っており、サイバーセキュリティ研究者は同グループの痕跡を注視して解析している。
本記事では、Gamaredonが用いるツールの1つである悪名高いUSBワームLitterDrifterに目を向けた。
Gamaredonはウクライナの幅広い組織を標的にすることを特徴としており、諜報活動の諸目的に対する執拗な取り組みを行っている。
ウクライナの法執行機関であり、防諜活動と組織犯罪対策の分野における主要な情報・治安維持機関であるウクライナ保安庁(SSU)は、Gamaredonに属する要員について、ロシア国内で防諜、テロ対策、軍の監視を担当する防諜・安全保障機関であるロシア連邦保安庁(FSB)の将校であることを特定し、これによりGamaredonの活動に地政学的な側面が加わった。
チェック・ポイントによる大規模な分析ではGamaredonのコマンド&コントロールインフラストラクチャについて深く掘り下げ、その極めて高い柔軟性と流動性を明らかにしている。
このように変動的な特性を持つにもかかわらず、このインフラは以前にも報告されたパターンや特徴を維持しており、Gamaredonのアプローチが一定のレベルでの一貫性を持つことを示している。
結論
サイバーセキュリティ専門家が国家支援型サイバー諜報活動の複雑さについて分析を続ける中でGamaredonは依然として精査の対象として注目されている。
LitterDrifterワームはGamaredonグループの適応能力と革新性の証であり、サイバー脅威の絶え間ない進化を体現している存在だ。
こうしたマルウェアに対する理解と全容の解明は、巧妙化する敵対勢力に対しグローバルなサイバーセキュリティ防御を強化する上で極めて重要である。
関連情報
https://www.checkpoint.com/jp/
構成/Ara
最新号
