標的型サイバー攻撃キャンペーン「Carbanak」で利用されたコマンド&コントロール(C&C)サーバが「ロシア連邦保安庁(Federal Security Service of the Russian Federation、FSB)」関連の IPアドレスに名前解決されているという興味深い事象が確認されました。
「Carbanak」とは、銀行や金融機関を狙った標的型サイバー攻撃のキャンペーンです。2015年初旬に攻撃事例が確認されています。この攻撃では、標的型メールや脆弱性利用など、標的型サイバー攻撃で一般的に利用される手法が用いられていました。さらに攻撃者は、「初期潜入」のため、標的にしたネットワーク内情報を収集する「事前準備」も実施していました。標的にされた銀行や金融機関では侵入後の不正操作により、攻撃者の口座への送金が行われました。攻撃者は、送金に際して「国際銀行間通信協会(Society for Worldwide Interbank Financial Telecommunication、SWIFT)」のネットワークを利用していました。偽口座から送金するために電子決済システムを利用する場合や、ATM を指定した事例さえありました。
2015年5月、トレンドマイクロでは、「Carbanak」に関する報告の「侵入の痕跡(Indicators of Compromise、IOC)」について調査しました。その際、同報告で C&Cサーバとして特定されていたドメイン名「systemsvc.net」が IPアドレス「213.24.76.23」に名前解決されることを確認しました。さらに関連情報を調査したところ、このIPアドレスは、AS番号「AS8342 RTCOMM-AS OJSC RTComm.RU」の範囲下で、モスクワ市所在の FSB に関連することが判明しました。
図1:「systemsvc.net」上の情報
弊社は、この興味深い事象を調べるため、別の IOC関連情報も調査してみましたが、このような不自然な事象に関する情報は得られませんでした。なぜ、標的型攻撃で使用されたC&Cサーバのドメインが、正規組織である FSB管轄の IPアドレスに解決されるような事象が発生したのか、理解に苦しみます。FSB の判断で「Carbanak」関連のドメイン名を FSBサービス関連の IPアドレスに指定したなどとは考えられません。このドメインの所有者である攻撃者が調査をかく乱する目的でやったのかもしれません。
このIPアドレスからさらに「逆引き」でドメインを検索してみると、「systemsvc.net」の他、複数のドメインがこのIPアドレスに名前解決されていることも判明しました。
図2:FSB の IPアドレスに解決されるドメイン
本件について引き続き監視を続け、さらなる情報を確認した場合は、本ブログを通じてお知らせします。
参考記事:
- 「Joke or Blunder: Carbanak C&C Leads to Russia Federal Security Service」
by Maxim Goncharov (Senior Threat Researcher)
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)