おそらくNSAが作成したと思われる最高レベルのハッキングツールが、Shadow Brokersと名乗るグループによって一般に漏洩される数か月前、そのエクスプロイトコードは中国政府系ハッカーによってシステムに侵入するために使用されていたようだ。
これはシマンテックによるもので、同社の研究者らは今週、2016年に「Buckeye」として知られる作戦が、おそらくNSAのハッキングチームであるEquation Groupのツールを使用していたことが確認されたと述べている。Equation Groupのコードは盗まれ、1年後に一連の注目を集めた暴露の中でオンライン上に放出された。
中国が一般公開の1年前にコードを入手できたということは、Equation Groupのツールが当初考えられていたよりもずっと早く知られ、盗まれたことを示唆している。
具体的には、北京の支援を受けたBuckeyeグループは、Bemstourと呼ばれるエクスプロイトツールを使用して、Double Pulsarと呼ばれるバックドアを標的に感染させていました。このキットは、当時未知だったWindowsの脆弱性を狙ってバックドアを開き、ハッカーが標的にアクセスして監視できるようにしていました。
このマルウェアは、ハッカーたちが香港とベルギーの標的へのアクセスを取得し、維持するために使用されました。その後、このパッケージは改変され、ベトナムとフィリピンの端末に対する別の攻撃にも使用されました。
シマンテックは報告書の中で、「シャドー・ブローカーズによる情報漏洩の少なくとも1年前に、バックアイがどのようにしてEquation Groupのツールを入手したかは依然として不明である」と述べている。
Buckeyeは2017年半ばに姿を消し、同グループのメンバーとされる3人が2017年11月に米国で起訴された。しかし、既知のBuckeyeツールを使った活動は2017年半ばに停止したものの、Buckeyeが使用していたBemstourエクスプロイトツールとDoublePulsarの亜種は、少なくとも2018年9月まで、別のマルウェアと組み合わせて使用され続けた。
シマンテックは中国がどのようにして米国政府の攻撃ツールを入手できたのか正確には明かさなかったが、中国が自国のシステムを攻撃するために使われているコードを見つけ、マルウェアのペイロードを自らの目的に合わせて微調整しただけという可能性もある。
NSAの古い脆弱性からWindowsシステムにパッチを当てるべき45,000の理由
続きを読む
「攻撃のタイミング、ツールの特徴、構築方法に基づくと、Buckeye が、おそらく Equation Group の攻撃を観察し、捕捉したネットワーク トラフィックで見つかったアーティファクトから独自のバージョンのツールを設計した可能性がある」とシマンテックは説明した。
このようなシナリオは昨年サンフランシスコで開催された RSA カンファレンスで概説され、研究者のケネス・ギア氏とカーリス・ポディンシュ氏は、政府が攻撃に使用された攻撃ツールを、主要なコンポーネント (標的のファイルやマルウェアのペイロードなど) を独自のツールに置き換えるだけで比較的簡単にリバースエンジニアリングして兵器化できることを示しました。
その講演から得られた重要なポイントは、「サイバー兵器は発射するのではなく、共有するのだ」というものでした。これは、今週のシマンテックの調査結果を完璧に要約していると言えるでしょう。®
