トレンドマイクロは、2015年2月15日、イスラエルを標的にした攻撃キャンペーン「Arid Viper作戦」に関するリサーチペーパー(英語情報)を公開しました。この攻撃キャンペーンは、現在も実行中であり、ネットワーク基盤はドイツに拠点を置いていることが判明しています。そして、パレスチナ自治区ガザなどを拠点とするアラブのサイバー犯罪者グループとの密接な関連も明らかになっています。
弊社は、また、相互に強い関連性を持つ 2つの異なる攻撃キャンペーンを確認しました。
Arid Viper作戦:イスラエルの有名な企業や団体を集中的に狙った標的型攻撃。パレスチナ自治区ガザを拠点とする攻撃者と関連性があります。この攻撃では、感染経路として標的型メールが利用されており、成人向け動画を装った不正プログラムが添付された Eメールを利用します。添付された不正プログラムは、情報送出を実行する機能を備えています。一般に「smash-and-grab」(ショーケースを破り、中の商品を掴んで逃げる泥棒のたとえ)と呼ばれる比較的単純な活動を行う不正プログラムであり、侵入したユーザの PC から文書データを収集し、外部に送出する活動を行います。関連する不正プログラムは、2013年半ばに初めて確認されました。
Advtravel作戦:標的型攻撃とは言えないもので、何百人ものエジプト在住のユーザが被害を受け、個人の PC が感染したようです。このことから、この攻撃キャンペーンは「Arid Viper作戦」ほど巧妙ではないと弊社では考えています。「Advtravel作戦」に関係する攻撃者は、エジプト国内にたどることができます。
それぞれの攻撃自体より、おそらくもっと興味深いと思われるのは、この 2つの攻撃キャンペーンが密接に関係していることかもしれません。
- どちらもドイツに拠点を置く同一のサーバ上にホストされている
- 両攻撃キャンペーンのドメインは、同一人物によって登録されている
- どちらの攻撃キャンペーンも、パレスチナ自治区ガザからの活動と関連性がある
「Arid Viper作戦」は巧妙な標的型攻撃である一方、「Advtravel作戦」は、すべてが初心者の攻撃者の特徴を表す未熟な攻撃です。なぜ、この 2つのサイバー犯罪者グループが共に活動しているのでしょうか。
弊社の見解および継続した調査から、サイバー犯罪者を支援する包括的な組織、もしくはアンダーグラウンドのグループが存在する可能性が考えられます。このグループは、基盤の構築や標的の選定などに協力した可能性があります。
アラブ世界では、非国家主体によって歴史的に敵と見なされた他の組織との対立があり、こうした「武装グループによるサイバー攻撃」が増加すると弊社は予想しています。これは弊社が以前報告した、ドイツを攻撃した「CyberBerkut」とロシアとの関連性に類似しています。
「Arid Viper作戦」に関する弊社のリサーチペーパーでは、被害を受けたユーザ、手法の詳細、また、これらの攻撃キャンペーンに関係すると考えられる攻撃者に関する詳細を公開しています。
リサーチペーパー「Operation Arid Viper(英語情報のみ)」は、以下よりダウンロードしてご一読ください。
http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-arid-viper-bypassing-the-iron-dome
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)