急速に成長を続ける「サイレンス」と呼ばれるハッカー集団は、3年足らずの間に、東欧の小規模な地方銀行を襲撃するところから、いくつかの最大手国際銀行から数百万ドルを盗むところまでになった。
シンガポールに拠点を置く情報セキュリティ企業グループIBが今朝発表した報告書によると、2016年から活動しているSilenceは現在30カ国以上で活動しており、これまでに世界中の銀行のコンピュータネットワークに侵入し、侵入した現金自動預け払い機から少なくとも420万ドルを盗み出しているという。
サイバー犯罪者集団を初期から監視してきたGroup-IBによると、ロシアのサイバー犯罪集団が拡大するにつれて、その活動も巧妙化しているという。3年間の活動を経て、Silenceは現在、極めて洗練された有能な集団として活動している。
「当初、Silenceはツール、技術、手順において未熟さを示し、ミスを犯したり、他のグループのやり方を真似したりしていました」と、本日Group-IBのウェブサイトに掲載される予定の報告書は述べている。「現在、Silenceは金融セクターを標的とする最も活発な脅威アクターの一つとなっています。」
前回『サイレンス』を取り上げたとき、このチームはバングラデシュに拠点を置くダッチ・バングラの現金自動預け払い機から300万ドルを盗み出すという、同作史上最大の金融ハッキング事件を終えたばかりだった。
それ以来、Group-IBは、チームがさらに野心的に成長し、世界中の銀行に17万通以上のメールを送信し、特にアジアには8万件のメッセージを送信したと推定している。
これらのメールには、リンクや添付ファイルが仕掛けられていることが多く、被害者を騙してグループが好むマルウェアをダウンロードさせ、開かせようとするものでした。感染したPCはコマンド&コントロールサーバーに接続し、ハッカーが銀行のコンピュータネットワーク内を横方向に移動するために利用されました。
実際の現金窃盗はATMを通じて行われます。オランダのバングラデシュの事件と同様に、他の銀行からも、犯人がネットワークに侵入すると、現金自動預け払い機(ATM)やカード処理システムを管理するサーバーを乗っ取るとの報告があります。
ロシアの「サイレンス」ハッキング集団が勢力を拡大、銀行の現金自動預け払い機に300万ドル超のサイバー攻撃
続きを読む
これにより、攻撃者はマネーミュールを特定のATMに誘導し、現金の引き出しを指示することが可能になります。もしマネーミュールが逮捕されれば(オランダのバングラデシュ強盗事件のように)、この作戦を主導したハッカーたちは警察の手から逃れることができます。
この手法は成功を収めた一方で、その活動自体にも注目を集めました。Group-IBによると、Silenceの攻撃グループは、マルウェアツールの追跡と特定を困難にすることで、より高度な対策を講じざるを得なくなったとのことです。しかし、彼らにはまだ学ぶべき点がいくつか残されています。
「Silenceは、セキュリティツールによる検出を困難にするという一つの目的のために、ツールセットに多くの変更を加えました。特に、暗号化アルファベット、文字列の暗号化、そしてボットとメインモジュールのコマンドが変更されました」とGroup-IBは指摘しています。
「Silence は、他の APT グループよりはるかに遅れてではあるものの、ファイルレスモジュールを武器に組み込む動きを見せており、他のサイバー犯罪グループに比べて同グループがまだ追いつこうとしている段階にあることを示唆している。」®
