53
カスペルスキー、ウズベキスタンのハッキング活動を容易に摘発

クレジット: Shutterstock

(画像クレジット:Shutterstock)

カスペルスキーのセキュリティ研究者は、ウズベキスタンの諜報機関と思われる組織が仕掛けたハッキン​​グ作戦の一部を発見した。研究者によると、ウズベキスタンのスパイは、オペレーションセキュリティ(OPSEC)が極めて脆弱だったため、容易に摘発されたという。

サンドキャットとネズミのゲーム

Viceの報道によると、カスペルスキーの研究者は最近、ウズベキスタンの諜報機関と思われるハッキンググループを発見した。カスペル​​スキーは当初このグループを「SandCat」と名付けていたが、現在ではSandCatは実際にはウズベキスタン政府の国家安全保障局(SSS)であると考えられている。

Vice によると、このグループの疑わしい運用セキュリティ慣行の 1 つに、攻撃インフラストラクチャ内のドメインの 1 つを登録するために「SSS とつながりのある軍事グループの名前」を使用することが含まれていました。 

SandCatが犯したもう一つのミスは、新たなマルウェアの作成に使用したのと同じマシンにKaspersky Anti-Virusをインストールしていたことです。これにより、Kasperskyのアンチウイルステレメトリが、悪意のあるコードが展開される前にそれを検知・収集することができました。Kasperskyはつい最近、この機能をめぐって大きな問題に直面しました。米国政府が、この方法で機密文書を盗んだとしてKasperskyを告発したのです。しかし、この状況下でKasperskyはアンチウイルスの検知機能を利用し、SandCatがサードパーティのセキュリティ脆弱性ブローカーから購入した4つの新たなゼロデイエクスプロイトについて把握しました。Kasperskyは後に、同じツールを購入したサウジアラビアとアラブ首長国連邦(UAE)の国家ハッカー集団の活動を明らかにすることができました。

SandCatがハッキング能力を開発した経緯

政府や法執行機関にハッキングツールを販売するイタリア企業、Hacking Teamに対する以前のハッキング事件から、SSSが2011年に顧客であったことが分かっています。Hacking Teamは、抑圧的な政府に監視・ハッキングソフトウェアを販売していた、イタリアで最も悪名高い監視ツール企業の一つでした。しかし、SSSのサイバー活動はこれまで目立たずに行われてきました。

カスペルスキーは2018年以降、サンドキャットの活動の痕跡を実際に発見していたが、当時はサンドキャットがSSSであると信じる根拠はなかった。2018年、サンドキャットは「Chainshot」と呼ばれるマルウェアを使用していたが、これはサウジアラビアとUAEの国家グループも使用していたものだった。しかし、サンドキャットは他の2か国とは異なる攻撃インフラストラクチャを使用していたため、カスペルスキーは無関係のハッキンググループに違いないと考えていた。カスペル​​スキーの研究者が当時確信していたことの1つは、それがどのグループであれ、多額の資金援助を受けていたということだ。彼らは、サンドキャットのハッカーたちがエクスプロイトをあっという間に使い果たしていた(使用しても他者に発見されて失われる)という事実から、この結論に至った。しかし、エクスプロイトがこれほど急速に使い果たされたということは、サウジアラビアとUAEもそれらを使用できなくなることを意味していた。

カスペルスキーは、サンドキャットが今回の攻撃において、イスラエルのNSOグループとCandiruという2つの企業からエクスプロイトを購入したと推測しています。NSOグループは過去に、ジャーナリストや反体制派を標的とする政府機関に監視ツールを販売したとして非難されてきましたが、同社はこれらの疑惑を否定しています。Candiruは、関心を持つハッカーグループに対し、監視およびハッキング活動管理プラットフォームをサービスとして提供しています。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

これらの企業は2018年にSandCatへのツール販売を停止した可能性があります。Kasperskyは、SandCatグループが独自の社内ツールの開発を開始したのはその頃だったと考えています。しかし、運用セキュリティ対策の不備により、SandCatグループが摘発されやすくなっていました。

カスペルスキーの研究者たちは、今回の発見によりサンドキャットは運用セキュリティの強化を迫られる可能性があると考えているが、同時に、サンドキャットが注目を浴びる可能性もある。今後、より多くのセキュリティ研究者がサンドキャットのツールを探し、被害者をさらに特定することが予想される。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Ecosystem
Posted by Lorlink