2015年4月、標的型サイバー攻撃キャンペーン「Pawn Storm作戦」が、情報窃取型不正プログラムを利用し独連邦議会の PC を攻撃したことが報道されました。Pawn Storm作戦によるドイツへの政治的攻撃が確認されたのはこの時が初めてでしたが、その1年後、この諜報活動を目的とした集団による攻撃が再び確認されました。
2016年4月、トレンドマイクロは、Pawn Storm作戦が独の「キリスト教民主同盟(CDU)」に対し新たな攻撃を開始したことを確認しました。CDU は独首相、アンゲラ・メルケルが党首を務める政党です。
今回の攻撃において、CDU と独無料メールプロバイダ2社を利用する高官が狙われ、認証情報窃取を目的に組織的な フィッシング攻撃が仕掛けられました。また、CDU を装った偽の法人 Webメールサーバがラトビアに設置 されていました。一方、上述の無料メールを利用する高官を狙うフィッシング攻撃においては、3つのドメインが作成されており、無料 Webメール認証情報のフィッシングサイトはオランダにある「仮想専用サーバ(Virtual private server、VPS)」に設置されていました。
Pawn Storm作戦の攻撃者は、標的とする組織および個人のメールアドレス宛に巧妙かつ同時に攻撃をしばしば仕掛けます。攻撃者は、標的とする組織の法人 Webメールサーバを偽造し、同時に、個人で無料 Webメールアカウントを持つ組織の高官を攻撃します。認証情報窃取を目的としたフィッシング攻撃は、諜報活動における重要な手法です。弊社は Pawn Storm作戦で、例えば密かにメールの転送設定をするなどして、攻撃者が Webメールのメールボックスをまるごとダウンロードし、将来的に利用するためアクセスを確保しているのを確認しています。
最近の Pawn Storm作戦の攻撃で繰り返されている手口は、組織に対する異なる角度からの同時攻撃です。弊社は、さまざまな政府機関、国軍、軍需会社およびマスコミがこのような手口でしばしば攻撃を受けるのを確認しています。
弊社は、2016年3月、今回の攻撃に先立ってトルコ政府を攻撃した Pawn Storm作戦について報告しました。それらの攻撃から、弊社の攻撃者に対する見解をさらに裏付ける証拠が確認されています。Pawn Storm作戦は、明らかにロシアの政治と利権にとって危険とみなされる集団に対し攻撃しています。
Pawn Storm作戦は、遅くても2004年から確認されている諜報活動の1つとはいえ、依然として非常に活発に、認証情報目的のフィッシング攻撃および不正プログラムの両方を頻繁に利用し、世界中の多くの標的に攻撃を仕掛けています。最近の活動の監視を通じて、弊社は活動中の「X-Agent」のコマンド&コントロール(C&C)サーバを10余り確認しました。X-Agent とは Pawn Storm作戦の攻撃の第二ステージで利用される不正プログラムで、特に関心と重要度の高い標的に対してのみ利用されます。これは Pawn Storm作戦がどれほど活発であるかを示すもう1つの強力な指標となります。
以下は本記事で言及されているドメインです。
- account-web[.]de
- account-gmx[.]de
- account-gmx[.]net
参考記事:
- 「Pawn Storm Targets German Christian Democratic Union」
by Feike Hacquebord (Senior Threat Researcher)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)