ハッカーは原子力機関や防衛機関を含む重要なインフラ提供者を標的にしており、これは北朝鮮のコードの背後に隠れた国家主導の攻撃である可能性がある。
マカフィーによって発見され「シャープシューター」と名付けられたこの攻撃は、11月から実行されており、主に米国に拠点を置く、あるいは世界中の英語圏の企業や機関、特に原子力、防衛、エネルギー、金融関連企業を狙っている。
現時点では、ハッキング活動は主に偵察活動と感染マシンからの機密情報の収集に重点が置かれているようです。マカフィーは、インフラへの損害や妨害行為に関連する行動は確認していません。
よく組織されたサイバー攻撃の多くと同様に、シャープシューター作戦は、標的企業の主要メンバーを、厳密にターゲットを絞ったフィッシングメール(今回の場合は、英語を話す応募者を求める求人代理店を装っている)で狙っていると、本日発表された。
メールには、汚染された Word 文書 (作成に使用されたバージョンは韓国語版だったと研究者らは指摘) が含まれており、これが最初のマルウェアである制御サーバーにダイヤルアップするメモリ内モジュールをインストールしようとする。
制御サーバーに接続すると、感染したPCは「Rising Sun」と呼ばれる二次的なマルウェアペイロードをダウンロードして実行します。Rising Sunマルウェアは、キャンペーンにおける主要な役割を担い、ネットワークアクティビティの監視に加え、感染マシンから情報を収集し、暗号化して制御サーバーに送信します。
マカフィーは、この攻撃、特に使用されたマルウェアのペイロードは、インフラと金融機関の両方への攻撃を行ったとされる北朝鮮のハッキング組織ラザルス・グループが使用したソースコードから大幅に借用していると指摘した。
「絶望的な」北朝鮮は、切実に必要な資金を集めるために銀行ハッキングに手を染める
続きを読む
しかし、だからといってこのグループが作戦の背後にいるというわけではない。実際、マカフィーは、この関連性はレッドニシン(偽情報)である可能性を強く疑っていると述べている。
「オペレーション・シャープシューターとラザルス・グループとの数多くの技術的つながりはあまりにも明白であるため、直ちに同グループが攻撃に関与していると結論付けることはできず、むしろ偽旗作戦の可能性を示唆している」とマカフィー氏は説明した。
他のグループや政府がLazarusからソースコードを借用することは珍しくありません。今年初め、研究者たちは、米国政府自身の攻撃ツールがどのようにして解体され、再パッケージ化され、新たな標的に向けて再び悪用されたかを明らかにしました。
このため、マカフィーは、今のところ、誰が攻撃の背後にいるのかという憶測は控えるとしている。®
