サックフライと呼ばれるプロのハッカー集団が、個人を狙い、その職場ネットワークにアクセスするためのツールをインストールすることで、インドのインフラと経済基盤を狙っている。
これは、このグループの活動と手法を分析、詳しく調査したシマンテックのブログ投稿によるものです。
シマンテックは、今年3月に韓国の組織を標的とし、デジタル証明書を窃取しようとしている「Suckfly」と呼ばれるグループを初めて発見しました。シマンテックは、彼らが独自に開発したマルウェアを通じて彼らの痕跡を追跡し、彼らがインドの政府機関と民間企業の両方の主要組織を組織的に標的にしていたことを突き止めました。
Backdoor.Nidiranと呼ばれるこのマルウェアは、インドで不均衡な数の感染が確認されています。シマンテックは標的企業の名前を明らかにしていませんが、インド最大手の金融機関1社、トップ5に入るIT企業1社、大手eコマース企業1社、米国ヘルスケア企業のインド事業部、そして2つの政府機関が標的となっていることを明らかにしました。
ハッカーが最も時間を費やした標的は、他の省庁や部署のためにネットワークソフトウェアをインストールする政府機関であり、そのシステムにハッキングする利点は明らかである。
シマンテックは、このグループの攻撃手法も解明した。各組織で、オンライン上に大きな足跡を残し、そのシステムにマルウェアをインストールした従業員を発見したのだ。シマンテックは、フィッシング攻撃が最も可能性の高い手法であると考えている。
その後、マルウェアは既知のセキュリティホール(今回の場合は未修正のWindowsの脆弱性)を悪用して権限を昇格し、その人物になりすまして職場のネットワークに侵入します。ネットワークに侵入した攻撃者は、他の標的を探し、最終的に内部ネットワーク上の可能な限り多くのデータを、グループが管理する複数のハードコードされたサーバーに送信しました。
このグループは十分に組織化され、忍耐強いことから、シマンテックは特定の任務を負ったプロのハッカー集団であると結論付けました。しかし、彼らがアマチュアハッカーではなくプロの集団であることを最も明確に証明するのは、送信された指示を日時別に分析できたこと、そして週末には全く活動がなかったという事実です。つまり、月曜日から金曜日の9時から5時までの勤務時間で活動しているということです。
出勤と退勤を記録するハッカーたちは週末は休みです。
Suckflyとは一体何者で、どこから来たのか?シマンテックは推測すらしていないものの、標的は証明書を狙う韓国、サウジアラビア、そしてインドであり、中でもインドが圧倒的に多いと指摘している。
注目すべきは、情報を受信するために使用されるドメインが英語のスペルであり、一部は fedora-dns-update.com や microsoft-security-center.com など、明らかに正当なドメインを装っていることです。
他にも、何か意味があるかもしれないし、何の意味もないかもしれない手がかりがいくつかあります。例えば、いくつかのドメインはYandexのメールアドレスを通じて登録されていました。Yandexはロシアに拠点を置いています。
政府支援のハッカー集団(最も有名な例は中国とロシア)である可能性もあれば、報酬を得て活動しているフリーランス集団である可能性もある。インドの経済・政府中心地を標的とすることは、外国政府と、商業的に機密性の高い情報から利益を得ようとする者の両方に利益をもたらす可能性があるため、動機を推測することも困難である。
しかし、注目すべきは、その集中的な努力と高度な手口です。シマンテックは、ほとんどの攻撃が発生してから2年後、そして何を探すべきかを知った後にようやくこれらの攻撃を発見しました。®
