Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

WannaCryとLazarus Group(北朝鮮)の関連 / EternalRocks

WannaCryとLazarus Group(北朝鮮)の関連

23日、NHKは、WannaCryの被害が150カ国、30万件 以上であるという米政府による見解と共に、これに「北朝鮮ハッカー集団が関わっている可能性が高い」とする米シマンテック社の調査結果を報じました。この北朝鮮ハッカー集団とは、Lazarus Groupと呼ばれているグループのことです。

www3.nhk.or.jp

この報道のは、米シマンテックが22日(米国時間)に発表した調査結果を受けてのものです。この中でシマンテックは、WannaCryによる攻撃で見られたツールとインフラストラクチャについて、2014年のソニー・ピクチャーズ・エンタテインメントへのサイバー攻撃や、2016年にバングラデシュ銀行から約90億円が不正送金された事件と強い繋がりが見られると述べています。シマンテックは、これら2つのインシデントもLazarus groupによるものであるとの調査結果を2016年5月に発表しています。

シマンテックは、WannaCryによる攻撃と過去のLazarusの攻撃との類似点として、今回の大規模拡散が発生する以前の2月及び3〜4月におけるWannaCryによる攻撃についても言及し、マルウェアのコードにおける類似点および共通のC&CサーバIPアドレスが使用されていることなどを根拠としてあげています。

www.symantec.com

なお、NHKは、20日には一連のサイバー攻撃への北朝鮮の関与を否定する北朝鮮のキム・インリョン国連次席大使の「奇妙なことが起きると、いつもアメリカと北朝鮮の敵対勢力が意図的に騒ぎたてる」といったコメントなども報じています。

www3.nhk.or.jp

カスペルスキーは、15日の時点でWannaCryとLazarus groupを結びつける複数のセキュリティ専門家の主張を紹介した上で、この結びつきへの確信を深めるためには「さらなる調査が必要だろう」と述べるにとどめていました。

securelist.com

しかし、翌16日(米国時間)には、同社グローバルリサーチ分析チームのディレクターであるCostin Rai氏が、WannaCryと2015年に発見されたLazarusのバックドアとで共通のコードが使われていることを確認したことをツイートしています。

また、同様の指摘はセキュリティ専業企業Comae Technologiesの共同創業者Matt Suiche氏によってもなされています。

WannaCryとLazarus group(北朝鮮)の繋がりに関しては、多数のサイバーセキュリティ専門メディアの他、CNNやThe Guardianなど欧米の主要メディアや、Wiredなどのテック系メディアによっても報じられています。 

money.cnn.com

www.theguardian.com

www.wired.com

現時点のメディアの報道や専門家に主張では、WannaCryとLazarusについて主にマルウェアのコードといったツールや、C&CサーバのIPアドレスなどインフラストラクチャの側面から共通項が指摘されています。しかし、その手口や目的と行った面に目を向けた場合には、過去にLazarus groupの活動とされたソニー・ピクチャーズ・エンタテイメントへの攻撃やバングラデシュ銀行からの不正送金などとは異なる点もみられます。少なくとも、活動から得られた経済効果の側面からは、バングラデシュ銀行への攻撃で得られた(とされる)約90億円に対して、WannaCryで得られたビットコインの総額は先週末時点でも1,000万円程度であったとされており、比較になりません。また、技術的な側面からも、複数の攻撃において共通のIPアドレスを利用することは、練度の高い攻撃者にはみられないとされている特徴でもあります。本件については、今後も新たな事実や調査結果があらわれる可能性が考えられます。

EternalRocks 

WannaCryの感染拡大機能がThe Shadow BrokersによってリークされたNSAのハッキングツールのうちETERNALBLUEと呼ばれるexploitによるものであったことは、すでに知られています。このETERNALBLUEはNSAよりリークされたFuzzBunchと呼ばれるツールキットの一部であるため、今後はこれに含まれる他のツールを利用したマルウェアが出現するだろうと予測されていました。

この予測はすでに現実のものとなっています。クロアチアCERTのサイバーセキュリティ・エキスパートであるMiroslav Stampar氏は、5月3日の時点でこのEternalRocksと呼ばれるマルウェアのサンプルのひとつを発見しており、詳細な調査結果をGithubにアップしています。

github.com

EternalRocksについては、すでにCNETなどにより報じられており、日本語の翻訳記事も読むことができます。

japan.cnet.com

Stampar氏によると、EternalRocksはWannaCryなどのランサムウェアとは異なり、標的の端末に侵入後にマルウェアをダウンロードするまで24時間の潜伏期間を設けるなど、侵害の迅速な発見を困難にする性質を持っています。また、EternalRocksには、SMBの脆弱性を利用したexploitであるETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、 ETERNALSYNERGYの他に、関連するプログラムであるDOUBLEPULSAR、 ARCHITOUCH、SMBTOUCHが使用されています。