039| APT29 – Dukesの解明:APT研究者の回想
APT29(別名Cozy BearあるいはDukes)は、2016年の米国大統領選挙運動期間中のDNCサーバへのハッキングに代表される違法行為を犯してきたサイバースパイグループの名称です。直近では、MITRE社が最新のATT&CK評価(英語)の攻撃シナリオに取り上げたことから、このグループが再び注目されています。エフセキュアのArtturi Lehtio(アルトゥーリ・レティオ)は、Dukesに大変精通しており、Dukesの全盛期に広範な調査を実施し、2015年にホワイトペーパー(英語)を執筆しました。今回のArtturiとの対談では、過去を振り返り、このグループに対する彼の見方が時間の経過とともにどのように変化していったかについて議論しました。
また、このエピソードでは、APTグループが撤退後に、一般的に取られる行動とDukesの行動が異なっている点についても説明します。なぜDukesを「単一組織」と呼ぶことが言い過ぎであったのか、そして、近年APTグループに関する研究発表が減少している理由についても紹介しています。
Janne:ようこそ、Artturiさん。
Artturi:こんにちは。今回はお招きくださり、ありがとうございます。
今日はDukesをテーマに取り上げます。それは、MITREが今年のATT&CK評価のラウンド2で選択した攻撃のシナリオがAPT29であるからです。2015年にエフセキュアが実施したDukesの調査を主導したのはあなたでしたね。最近はどのような仕事をしているのですか?
現在は、エフセキュアのビジネス戦略と経営企画に携わっています。APTとはまったく関連しない業務ですが、おっしゃる通り、数年前は、APT29などさまざまな種類のAPTの研究に没頭していました。
それでは、まずDukes、つまりAPT29について簡単に説明してもらえますか。彼らは何者で、誰のために働いているグループですか?
Dukes、APT29、あるいはCozyBearとも呼ばれていますが、これはロシア連邦が後ろ盾になっていると信じられている、サイバースパイが使用する特定のツールセットと活動のことです。少なくとも2008年から、調査レポートを発行した2015年に至るまでの期間にわたって運用されていました。
Artturi Lehtioわかりました。あなたはDukesと呼んでいますね。Cozy Bearと呼ぶことに抵抗がありますか?
2013年2月に、ブダペスト工科経済大学のCrySyS Labと呼ばれる組織とKasperskyが共に、初めて公にDukesと呼びました。彼らは、MiniDukeと名付けたマルウェアに関するホワイトペーパーを発行しました。その後、私たちを含めた業界の一部の人が、明らかにDukesと関連性がある他のツールセットを発見したとき、常にDukeで終わる名前を付けることで、それらの間に何らかの関連性があることを表現することにしました。その結果、CosmicDukeが続き、CozyDukeも登場しました。
Cozy Bearは、後になってこの業界の特定の企業によって使用された名称です。実際、Cozy BearとCozyDukeは、ツールセットの観点からすると本質的に同じものです。しかし、Cozy Bearはより広範な一連の活動の名称としても使われています。私たちは社内でCozy Bearについて話し合っていた中で、それがDukesに関連していることに気付いたので、呼び方をCozyDukeに変えました。この方が、複雑になることを避け、Dukesとの関係性を明確に示すことができると考えました。しかし、Cozy Bearという名称にこだわっている人もいることは事実です。
なるほど。先ほど話されていたように、あなたが研究を発表するまで、このグループは活発に活動していました。その後、彼らにいったい何が起こったのですか?
はい、それは非常に興味深い質問です。ほとんどの場合、脅威アクターが使用するツールや手法に関しての新しい研究が公開されると、彼らは、攻撃を継続するために必要最小限の変更を行います。そのため、ツールに小さな変更が加えらるか、新しいインフラなどを構築して、できるだけ攻撃を続けられるようにします。そして、Dukesはそれを長い間、何年にもわたって実行していました。そして、新しい研究が発表されてから数週間も経たないうちに、ほんのわずかな変更を施しただけで活動を再開していました。
ところが、とても興味深いことですが、私たちが2015年9月にホワイトペーパーを発行した後、少なくとも半年間も音沙汰がなくなったのです。そして、2016年の春になって、彼らが再び新たなインフラを構築し始めているかすかな兆候が現れ始めました。小規模な活動が、2016年、’17年、’18年に確認されましたが、これまでとはわずかに異なるツールセットが使用され、以前と同じ攻撃能力で活動することはありませんでした。少なくとも私たちが同じ活動として分類したものとは異なっていました。
それは確かに興味深いですね。Dukesグループのメンバーとツール、そして戦略に何が起こっていたと思いますか?
私は、メンバーやとノウハウは生き続けていたと確信しています。しかしながら、メンバーが他の組織に移ったのか、単にツールや手法を切り替えただけなのか、実際のところ何があったのかは私にはわかりません。恐らく、その時点で知れ渡ってしまった多くのツールを放棄したのでしょう。彼らはすでに新しいツールセットをペースを早めながら使用する習慣を持ち始めていました。そのため、ツールセットに関しては、すでに多様化がみられており、彼らはその習慣を継続していたと思われます。
それで、このようなグループが撤退すると通常はどうなるのですか?彼らは戦線を離脱して一休みし、戦略を練り直し、ツールを一新して、「バージョン2.0」として復帰するのですか?どのような姿になるのでしょう?
実際には、彼らが休戦することはほとんどありません。多くの場合、攻撃を試し続けますが、それには恐らくいくつかの理由があります。
1つの理由は、これらのタイプのサイバースパイ活動に起因しています。非常に多くのインテリジェンスを失うことなく、主要機能の1つをシャットダウンできるリソースを持っている国はほとんどありません。したがって、彼らは当該の諜報能力を失った場合の費用便益分析をしなければなりません。再構築するには時間がかかります。そして、しばらくその能力がない状態に国家として許容できるかどうかです。
もう1つの理由は、費やされた労力の大きさであり、それは目的が何であるかに依存します。Dukesの場合、その目的は常に情報収集でした。そのため、彼らにとっては、企業のネットワークに潜行し続けること、できれば何年もの間、情報を収集し続けることが重要でした。他のアクター、例えば、別のロシアのスパイグループと疑われているFancy Bear、すなわちAPT28はもっと積極的な手段をとり、破壊的な攻撃を繰り広げており、たとえば、情報戦や情報漏えいの目的で情報収集します。Dukesと比べて、はるかに短期戦であり、目的も異なります。したがって、費用便益分析の視点も異なっています。
では、あなたがこのような研究を行い発表したのは、これらのグループを撤退させるためでしょうか?この種の研究を行う動機と目的を教えてください。
グループを撤退させることが主な目的ではありません。サイバーセキュリティの研究、そしてAPTの研究の究極の目的は、防御側がより情報に基づいた意思決定を行えるようにすることです。したがって、防御側が重要な活動から順番に取り組めるようにするために、構築する防御機能の種類と構築方法に優先順位を付けることです。
私たちがこの種の研究を行うもう1つの目的は、特定のツールやツールセット、あるいは手口を技術的に深く掘り下げて分析し、防御側が攻撃を防ぐ準備をより良く整えられるようにすることです。また、2015年のホワイトペーパーのように、グループを俯瞰的に見た概要を解説します。私たちは戦術が何年にもわたりどのように進化したかを調査し、行動パターンがどのように変化したかを観測しています。これは、脅威ランドスケープや攻撃者の進化状況を評価したり、将来の投資と防御策に優先順位を付ける方法を評価するのに大変役立ちます。
今になって振り返るとわかることがあると思いますが、この研究を実施し発表していた時期に、別のやり方もあったとは考えませんか?もう一度やり直せるとしたら、どうしますか?
この種の研究における最大の課題は、どこでやめるべきか、どこかでやめたいかを知ることだと思います。研究者なら、新たな脅威を探して、追加の仮説を立て続けます。それを止めてレポートを書く前に、もう一歩先に進みたいと思っているはずです。しかし、いつかは終わらせなければならず、ある期間を切り取ったスナップショットになることをある程度受け入れる必要があります。その時点では最善の理解でも、それを超えることはできません。したがって、私たちが収集したデータと、その制約のなかで行った分析を明確に示すことに関しては、私たちは比較的良い仕事ができたと思っています。
同時に、私の考察をさらに発展させた研究がいくつか公表されています。私たちの報告書にはDukesにおける最も重要な進化が示されており、特にDukesは大規模に統制された単一組織であると確信していることが強調されています。今振り返ってみると、この表現の仕方は少し弱めにすべきだったかもしれません。でも、当時根底にあった想いに変わりはありません。今でもデータを信じており、データがさまざまな活動のすべてにわたって驚くほど強力な統制力が働いていたことを示していたと信じています。しかし、おそらく「単一の組織」という表現は少し強すぎたかもしれません。おそらく、複数の運用グループがあり、ツールを操作する別々のチームが複数あったと思われます。ツールセットの異なるパーツを開発するチームが複数存在した可能性もあります。そして、それらのツールセットは、微妙に異なるタイミングでさまざまな攻撃実行チームに配布されます。また、一部のチームはいくつかのツールを受け取り、他のチームは異なるツールセットを受け取ります。そして、各グループは、すべてではないものの、一部の事柄について互いに調整したり知識が共有されていました。
つまり、報告書では開発者とタスクマスターを擁した会社組織のように説明されていましたが、実際には個別のチームが個別の目標に取り組み、チーム間を移動する人々が一部のツールを共有し、一部の標的を共有している。そのようなことが起きていたとお考えですか?
はい。いくつか例を挙げてみます。おそらく複数の運用チームが存在していたと思われます。なぜなら、同じツールセットであるCosmicDukeの場合、一部のツールの使用方法や構成方法を見た時に、使用する暗号化キーやその構成方法や使用方法が、さまざまな環境設定されているのが観測され、それらはクラスター化されていました。そのため、運用者やチームごとに環境設定が異なるように見えましたが、共有インフラが重複していたり、類似している場合がありました。おそらく、メンバーがあるチームから別のチームに移動したのかもしれません。また、一部のツールでは、新しいバージョンがどのように作成されたのかが観測できました。そしてツールの使用方法の違いによりさまざまなクラスターがあることも観測できました。たとえば、運用サイクルに応じて、微妙に異なる時点で新バージョンの使用を開始しますが、彼らは運用サイクルのさまざまな段階にいるので、場合によっては、次のサイクルの開始まで待ってからツールを更新していました。
ただし、時として同一システムで1つのツールセットを使用していながら別のツールセットを導入する場合もありました。さらに、それらのツールセットがまったく同じ目的を果たし、同じ機能を持っている場合、それらは別々のツールセットとして、異なるインフラに接続されていました。ここで、私たちが考えつく最も信ぴょう性の高い状況説明は、おそらくある運用チームから別の運用チームに標的を引き継いでいるというものでした。この場合、他のチームの標的情報をそのシステムに引き渡し、その後、そのシステムの標的情報を削除し、引き継いだ標的への攻撃を制御し続けるのが最も簡単な方法だと思われたからです。
したがって、明らかにコラボレーションや共有が発生する状況もありましたが、ほとんどは独立して運用されていました。
当時、私たちが単一の統制された組織だと説明した理由は、お互いを知らない別々の運用チームが、同じ時間に同じ標的を攻撃しているような重複した状況を観測したことがなかったからです。明らかに、彼らは多くの攻撃で重複が回避されていました。
標的においても、活動の大部分は外交政策に焦点が当てられていました。しかしその後、警察の法執行に非常によく似た小規模な活動がありました。標的にしているのは、違法薬物、肥育ホルモン、さらには児童ポルノの販売に従事している犯罪者のようでした。そのため、それらは警察の標的に非常に似ているように見えました。また、ロシアの個人も標的にしているようでした。さらに、国外の外務省が別の活動クラスターの標的になっていました。これもまた、異なる運用チームが存在していた可能性を示唆しています。おそらく、一部の方法論やツールを共有しているが、優先順位が異なり、比較的独立して機能している異なる組織だったようです。
しかし、その考え方は、あなたが実施した後援者に対する調査でも説明がつくのですか?ロシアの1つの組織が、たまたま隣国へのスパイ活動だけでなく、ロシア国内での麻薬取引も同時に標的にしていたと考えることもできますね。
どうでしょうか。私は犯罪学やロシアの諜報機関の専門家ではありません。しかし、確かに、たとえばエストニア外国情報局は、2018年の公開報告書で、Dukesの後ろ盾はロシアのFSB(連邦保安庁)とSVR(外情報庁)だと公表しており、その攻撃やその攻撃の一部が実際にはこれら2つの組織による共同戦略だった可能性を示唆しています。
あなたが研究しているときに、これらの攻撃の背後にいる人物像に対して何か直感のようなものはありますか?彼らは、独創的で頭の回転が良い若者なのか、年配で経験豊かなベテランなのか、どちらの感触を得ましたか?
これも興味深い質問ですね。私たちは彼らの人物像という意味での感触は得ていません。しかし、MiniDukeなどのさまざまなツールセットの進化の状況を考慮すると、マルウェアやウイルスの開発経験が豊かな人によって開発されていたように見受けられます。よく知られているように、MiniDukeの一部はアセンブリ言語で記述されています。非常に低レベルの言語であり、その意味ではコードを作成することはかなり難しく、古き良き時代のウイルス作成者が開発しているように思われます。
たとえば、CozyDukeのような一部のツールセットには、ヘルプ機能やデバッぐ機能、ロギング機能などが豊富に備わっています。そして彼らは、まるで企業のソフトウェア開発チームのような体制でマルウェアの作成を開始します。最初はこのような背景で始まり、その後徐々にマルウェアを進化させ、ロギング機能の一部を削除し、難読化し、最終的には何年もかけて、さまざまなものを隠蔽していきます。
そのため、ツールセットの観点からすると、非常に異なる背景を持つ開発者または開発チームによってさまざまなツールセットが開発され、最終的には相互に融通し合っているように見えます。
それは面白いですね。あなたの研究に戻ると、うまくいった部分とそうでもなかった部分からどのような教訓を得られましたか?
データとその分析を曖昧にせず明確化することの重要性は一貫して示されていたと思います。そのため、他の研究者はこれをベースにさらに研究を進めることもできますし、独自に評価を行って私たちの評価に同意するかしないかを判断しても良いと思います。 また、仮説を分析して提示したり、時には結論付けたりする際に、過大解釈したり深読みしすぎることなく、分析と過大解釈の間でバランスをとることが重要だと思います。
他の研究者が行った研究に基づいて組み立てることが極めて重要だと思います。私たちは、意識的に可能な限り他の文献を引用しました。目新しさを強調して一時的なマーケティングや宣伝効果を得ることや、自分達だけの研究による発見のように見せかけたりせずに、他の研究者が行ったさまざまなツールセットの詳細な技術的分析と参考文献のリストやリンクをできるだけ多く引用しました。
確かにあなたは、同じAPTグループを中心に研究を行い発表している他企業について言及していますね。それによって、常に新たな視点で物事を見て、先入観を持たずに結論を出すことが難しくなることはないですか?それとも、研究で不足していた部分を補ってくれるので役立っていると思いますか?
それは言うまでもなく、私にとって非常に大きな価値があります。どのような研究者、または組織であっても、ある意味において視点は限られており、可視性にも限界があるため、APTグループの活動の一部しか見ることができません。私の場合、たとえばDukesでは、実際のインシデントに直面し対応するチャンスに恵まれませんでした。私たちは主に、ツールやインフラ、アーティファクト(マルウエアや攻撃ツール、およびその関連技術)の観察に基づいた研究を行い、それらのツールがどのように使用されたのかを推論しました。一方で、他の研究者たちは、その後のインシデント対応の観点から議論を始めています。
たとえば2016年には、当時Mandiantに勤務していたMatthew Dunwoody(マシュー・ダンウッディ)氏とNick Carr(ニック・カー)氏による「No Easy Breach(防御が困難な侵害)」と呼ばれる講演があり、そこで彼らは1件のDukesインシデントへ対応した体験談を披露しました。それは、これまでとは正反対の視点だったため、非常に興味深い話でした。
KasperskyでAPT研究チームを率いるCostin Raiu(コスティン・ライウ)氏は、APTの研究を古生物学と対比していることで有名です。古生物学では骨や化石を頼りに動物や植物を研究します。そして、骨の山を見て、動物の姿かたちや、動き方、何をして何を食べたのかなどを推測します。私たちのDukes研究は、骨のような小さなアーティファクトをデータウェアハウスにすべて保管しているという点で非常に良く似ており、たとえて言うと動物の姿かたちや、それぞれの骨がどこに収まるのかを理解しようとしましたが、動物が実際に生きていて活動する様子は見たことがありませんでした。
そして、Dunwoody氏とCarr氏は、そのインシデントに実際に対応することで、これらの動物が生息している様子を観測したのです。彼らは活動の一部を見たことで、その視点から語りました。そして、私たちと彼らのそれぞれの視点での評価を比較することにより、ツールの使用方法などの私たちの推論がどれだけ正しかったのか、あるいは違っていたかを確認することができました。これは本当に興味深いことでした。
その後の研究報告書を読んで、その結論を見たときに、「なるほど、だから攻撃者はそういう行動をしたのか!」という思いや、それは当時あなたのデータが示唆していたのに、関係付けて考えることができず、「このことに気付くべきだった!」という苦い思いをしたことは有りますか?
実際、そのような思いをしたことが何度かあります。HammerDuke、別名Hammertossでの体験を紹介しましょう。2015年8月だったと思いますが、Hammertossに関してFireEyeがホワイトペーパーを発行しており、その中でAPT29という名称が初めて使われました。FireEyeは、この新しい脅威アクターから発見した、超ステルスで超高度なマルウェアについて解説しています。
実際、私たちはその時点で、このツールを詳細に調査しましたが、私たちの観点からは、ヘルプまたはユーティリティの一種として攻撃の後で使用されるものと見なしていました。攻撃者は侵害の早い段階では他のマルウェアを使用していましたが、その後に標的のシステムの一部にHammerDukeを侵入させて、それを副次的なツールの一種として残したと思われました。したがって、私たちはHammerDukeにあまり注意を払いませんでした。
そして、HammerDukeは、FireEyeによるインシデント対応調査を通じて発見されました。その時点で侵害の初期段階のツールの一部はすでにシステムから削除されていたと推測されます。攻撃者にとって、HammerDukeは副次的なツールではなく、ショーのスターでした。ですから、私たちの推定とはかなり違っていたのです。
さらに最近の例を紹介します。昨年の秋のことですが、セキュリティソフトウェア企業であるESETが、彼らがOperation Ghostと呼ぶ活動に関する研究を発表しました。この報告書をざっと見てみると、私たちがほとんど調査しなかったツールセットや活動の一部、そして未解決の質問を残したままのOnionDukeに関連してることがわかりました。当時私は詳細に調査したかったのですがその機会は訪れませんでした。したがって、別の研究者がこの活動についてさらに多くのことを発見できたのを知って興奮を隠せませんでした。
確かに、このようなことはかなり頻繁に起こります。他の研究者が発表した研究が新しい視点やアイデアをもたらしたり、あなたが言われたように空白を埋めることもあります。そこで、「なるほど、それでわかった」とか、「だから攻撃者がそうしたのか」、「そのように関連していたのか」などと気付くのです。
つまり、あなたは常々最新の研究を調べているということですね。しかし、最近はAPTの研究はあまり多く見られないように思えますが、如何ですか?
そのとおりだと思います。今では珍しいくらいです。かつて、APTの研究が流行のように一般に公開された時期がありました。残念なことに、多くの人々と企業が、主に短期のマーケティングや広告活動の流れに乗って、この研究に参入しました。ご存知のとおり、ある程度の調査を行って簡単なレポートを作成すれば、メディアに引用されて会社名が公表されます。そして、次第にレベルの低い競争になっていきました。常に煽情的な見出しと結論を考え出す必要に迫られていったのです。
そして問題は、ほとんどの研究が少数の攻撃アクターの同じデータセットと同じデータソースを対象にしていることから、実際には同じものなのに全く新しいセンセーショナルな見出しで斬新な研究に見せようとしていたことです。結局、誰もが目新しさを強調し誇張し始め、他の研究を参照したり引用することをやめてしまう、一種のバブルの様相を呈しました。そして、ますます小規模の活動やツールセットが最大の発見のように扱われていきました。
結局、研究は防御側にとって価値を失ってしまったのです。なぜなら、防御側の観点からすると、関連情報がなく、他に調べることや注意すべきことの情報もなく、すべてのAPTが最も高度で、ステルスで、斬新であるのなら、どれを優先すべきかわからないからです。つまり、どれもがすべてにおいて最高レベルだったり、突然すべてが同じレベルになったりするなら、もはやその情報を使用して優先順位を付けることは不可能になります。
したがって研究の価値が失われ、バブルになり、そしてバブルが弾けていったのだと思います。独自の研究に長けていた一部の研究者や企業は、一般に公開する回数を減らすと共に、それをビジネスに変え報告書を有料にしました。また、他の研究者はマーケティングと広告活動を行う新しい方法を見つけました。状況は好転しましたが、残念なのは、公表される研究が少なくなったことでした。
私は研究者としてそれを受け止めています。あなたが扇情主義者ではないことはよく承知しています。しかし、APTグループに対抗するうえで、研究者が皆等しく、先進的で持続的な研究努力をしなければ、取り巻く状況は悪化すると思いませんか?
私が出した結論は違います。この種の研究課題に対しては、今でも一層多くの研究が行われていると思います。
ただ公開されていないだけということですね。
まさにその通りです。APTの研究はその原点に回帰したのだと思います。しばらくの間、マーケティングと宣伝によって推進されていましたが、また戻ってきました。ご存知のように、最近、インシデントレスポンダーは多くの研究を行い、また引用もしています。レッドチームはこの種の研究を数多く実施しています。サイバーセキュリティ製品のR&D組織もこの種の研究を実施したり活用しています。また、よりリソースの豊富な防御者などは、社内に脅威インテリジェンスチームを擁しています。したがって、私の意見では、研究はより価値をもたらす場所、本来の場所に回帰しており、主にマーケティング活動ではなく、防御側に情報を提供し、防御力の向上に貢献していると思います。
それでは次に、2016年の選挙に先立って発生したDNCサーバへのハッキング事件を取り上げましょう。これを実行したロシア政府の目的は何だったと思いますか?
つまり、2016年6月の報告にある、米国民主党全国委員会(DNC)のITシステムに対して行われたインシデント対応と調査の話ですね。
はい。例の「Show me the server!」の事件です。
その事件は「Show me the server!」より前でしたが、同じようなケースです。
おっと、そうでしたか。
2016年6月、このハッキングのインシデント対応を行っていた米国のCrowdStrikeは、インシデント対応を行っていたという事実と、初期に発見した内容の一部を公表しました。そのブログの投稿記事は、とても面白く読むことができます。それは、「find me the server」インスタンスが原因で、何年間にもわたって何度も記事を更新する必要があったからです。最新の更新は、今年1月に行われたはずです。そこでは、「find me the server」陰謀説に異議を唱える新しい仮説へのリンクが再び追加されました。したがって、この事件によってCrowdStrikeも何度もトラブルに巻き込まれたのです。
2016年6月、CrowdStrikeは、民主党全国委員会のITシステムを襲った、2つの異なる攻撃アクターによる2つの個別の侵害を特定したと公表しました。アクターの1つはDukesで、CrowdStrikeはこれをCozy Bearと呼んでいました。もう1つのアクターはSofacyで、APT28またはFancy Bearとしても知られていました。
そして、CrowdStrikeが次に公言したことは、2つのアクター間のコラボレーションは確認しておらず、2つのアクターがお互いに気づいている兆候も見られないということでした。これは非常に重要な情報です。
また、同社はDukesによる侵害が2015年の夏には既に始まっていたのではないかと疑っていますが、一方でAPT28がDNCのシステムに侵入したのは2016年4月になってからです。これもタイミングの観点から非常に重要です。2015年の夏は、私たちがホワイトペーパーを発行する前であり、Dukesが新しい組織、特に外交政策に関わる標的を積極的に狙っていた時期だからです。
そして、DNCの事件は、単に情報収集の目的で侵入したと思われます。米国の外交政策とセキュリティ政策が将来どのように発展するかを理解したいのであれば、まさに政治的に重要な標的であることから侵入したのだと思います。彼らは将来を予見したいと考えていました。ただ聞き耳を立て、情報収集するだけでよかったのです。
私は、情報収集活動としては確かに成功したのだと考えています。それ以外の攻撃は、単に最初の成功に基づいた日和見的攻撃だったと思いますか?
それは、たとえばデータ漏洩のような攻撃のこことですね。
はい。要するに情報操作のことです。
繰り返しになりますが、だからこそ、互いに独立して活動する2つの侵害と2つのアクターが存在していたことを認識することが重要なのです。情報漏洩や、すべての当該選挙のハッキングは、いずれも他のアクターであるAPT28と連携しています。APT29、つまりDukesではありません。
したがって私の理解の及ぶ限りでは、Dukesは情報を収集するために侵入し、それを土台にして他の攻撃アクターが暴れ始めましたが、最終的にはすべてのアクターが撤退したのです。
つまり、ここ西側諸国で共通認識されている後援者として、APT29がSVR(ロシア対外偵察局)、APT28がGRU(ロシア軍参謀本部情報総局)であるとすると、あなたが言及したように、1つはより多くの情報収集に焦点を当て、もう1つは積極的対策に重点を置いているのは理にかなっていますね。
少なくともDukesを研究している限り、当然ながらその後ろ盾の問題は興味深いものでした。支援者を知ることは、状況によっては主に攻撃者の動機を理解するのに役立ち、攻撃がどのように進化し、将来的に誰を標的にするかを判断することにも役立ちます。そして、私たちにとって重要な意味を持っていた事実は、Dukesが一貫して外務省を標的とし、特に外交政策関連のシンクタンクに狙いを定めていたことでした。彼らは大使館なども標的としていました。したがって、まさに外国の諜報活動に焦点を合わせ標的にしているように見えました。
それが、当時私たちがすでにかなり自信を持っていた理由でもありました。システムをコントロールできる人物が連邦政府に雇用されていたかどうかは定かでありません。そして彼らが実は諜報機関に所属していたかどうかもわかりません。しかし、当時私たちは、その活動の最終的な後見人は政府であると確信していました。そして、今でもそう信じています。なぜなら、政府以外に、そのような外交政策情報と外交政策のスパイ活動に重要な価値を見出す組織はあり得ないからです。だからこそ、少なくとも政府が後援しているはずだと、当時すでに確信していたのです。
なるほど。さて、今年のMITREではDukesをテスト例として選択しましたが、APTグループとしてDukesに目立った動きがあるのですか?膨大にある攻撃の中から特にDukesが際立っているとか、これまでにはなかったような活動が発生しているのでしょうか?
Dukesには興味深い側面がいくつもありますので、まだテストサンプルとしては非常に有効だと思います。そのひとつは、実行された攻撃の種類でした。少なくとも活動の大部分を占めているのは、主に2種類の攻撃です。
1つはショーウィンドー破りのように大胆な手口の攻撃です。たとえば、数年間にわたって、年に2回、1月下旬から2月下旬と、7月下旬から8月下旬にかけて、何千ものフィッシングメールを送信していました。数十とか数百ではなく数千の単位です。まだ比較的標的を選別しており、ほとんどは彼らが目指すゴールに直接関連した標的でしたが、同じフィッシングメールを少なくとも数千件も送信したのです。そして、それらのフィッシングメールの内容は極めて一般的なものでした。たとえば、当時ランサムウェアでも人気のあったeFaxを題材にしていました。
彼らは、送信した後に待機して、この手口で何件だまされたかを確認しています。たとえば、数千人のうち数十人が引っかかったとすると、それらのシステムにツールセットを迅速に仕込み、できるだけ多くのデータを窃取します。その後、ある時点で撤退します。そして、データを取捨選択して、再度攻撃すべき標的を洗い出します。今度は絞り込んだ標的に対して、別のツールセットを用いて攻撃します。前回より、はるかにゆっくりと時機を伺いながら、よりステルス的に情報を収集するのです。
その他の事例では、ショーウィンドー破りの手口から、実際にステルスアプローチへと迅速に切り替えようとするため、ツールセットをすぐ取り換え、同じシステムに別のマルウェアを仕込んで元のマルウェアを削除します。または、すぐに他システムへと侵入拡大することもあります。それらの他システムでは、まったく異なるツールセットを使用し、大量のノイズを発生させないようにその場で切り替えます。可能な限り多くのデータを窃取するために、そこに長期にわたって潜伏し、ステルス性と永続性を維持します。本当に興味深い活動です。
確かに、このグループについての私の認識とも合致しています。それで、Dukesがこのような攻撃手法を最初に編み出したのですか、それとも他のAPTグループの共通知識にまで広めたということでしょうか?
Dukesが最初だったとは限りません。おそらく違うでしょう。ただ当時は、そのような戦略、つまりそのような方法論を採り入れていた著名なグループは少数でした。
わかりました。では、Dukesの将来はどうなると思いますか?
Dukesそれ自体は、もはや消滅したと思います。確かに、それ以来いくつかの活動のクラスターが存在していましたが、最近ではすでに歴史的なケーススタディとしての価値があると考えています。おそらくDukesの背後にいる組織は、かなり前にもっと進化していったはずです。つまり、Dukesに関わった人物、スキル、ノウハウはどれも消えていませんし、今後も残るでしょう。しかし、一部のチームは解散したり、他のチームに統合されたり、再配置されるなどさまざまな状況になっているでしょう。
したがって、私はDukesの遺産は生き続けると確信しています。しかし、防御側の観点からすると、新たな活動を古いDukesの型にはめ込もうとすることはもはや意味がないと思います。もし今でもDukesの人材が活動しているとしても、彼らは当時のツールや戦術を切り替え進化させるだけの知識を十分身に着けたはずです。
そうすると、防御側の私たちにとって、Dukesは依然として有用なケーススタディだが、現実に遭遇する可能性のあるものではないということですね。
まったく同じツールやテクニックが見つかるとは思えません。しかし、確かに彼らが採用した多くの技術は、依然として有効であり、適用可能です。
たとえば、Dukesが極めて巧妙な点は、常に人間の本質をよく理解しているように見えることです。このことが、組織にとって防御を困難にしていたのです。したがって、彼らは迅速に動くべきタイミングを熟知していました。彼らは、ランサムウェアやスパムのように見えるフィッシングメールを使用した大規模なキャンペーンを行います。スパムのように見えるので、気づかれる恐れがありますが、直ちに調査されることはありません。自分の興味をそそるものでもないし、標的にされたようにも見えないため、優先度は高くなりません。そして、攻撃を検知するまでには、おそらく最低でも数日の猶予が与えられるでしょう。彼らはゆっくり動くべき時期を良く知っていました。
彼らは、インシデント対応プロセスがどのように進行するかを理解しており、さらにそれを困難にする方法も知っていました。潜行して永続性を維持する方法について、大変興味深いアイデアをいくつも持っていました。したがって、彼らが行った多くのトリック、特に人間と防御側がどのように行動し、弱点が何であるかについての理解力は、今でも活動に役立っているのです。
よくわかりました。今回は、過去を振り返っていただきありがとうございました。5年前のあなたの研究を私たちと一緒に回顧することができました。Artturiさん、本当にありがとうございました。
カテゴリ