ルスラン・ストヤノフは正しかった。史上最も先進的な金銭目的のマルウェアは、ラーク・グループとして知られる約50人の投獄されたハッカーたちの産物だったのだ。
これは、世界で最も有能なエクスプロイトキットの謎の消滅と、インターネット上のエンドユーザーに対する最大の脅威の 1 つを解決する発見です。
カスペルスキー社の調査責任者は、今月初めのアングラーの消滅に関する調査の一環として、ザ・レジスター紙に対し、ロシアによるバンキング型トロイの木馬グループ「ラーク」のメンバーの前例のない逮捕の一環として、このグループが摘発されたのではないかと疑っていると語った。
キットを使用した活動が6月7日に停止し、ラークグループが逮捕されたこと以外、アングラーの運命について具体的なことはほとんど何も知らないトップ諜報機関筋しかいなかった。
その捜査中、民間部門およびモスクワのサイバー犯罪対策本部でマルウェア調査員として長年の経験を積んできたストヤノフ氏は、Lurkの関係者らが「一種の副業」としてAnglerを他の犯罪者に貸し出していたと正しく疑った。
本日発表された彼の新たな分析は、ラーク・ハッキング・グループの崩壊につながった約6年間の研究のエピローグであり、彼の以前の理論が正しかったことを証明している。
同氏によれば、AnglerはLurkグループの独創的なアイデアで、主力のトロイの木馬による収益の落ち込みを補う手段として開発されたという。
ラークグループは合計で約30億ルーブル(4,600万米ドル、3,500万ポンド、6,100万オーストラリアドル)を盗んだとして告訴されている。
ピーク時には、Angler はエクスプロイト キット感染全体の 40% を占め、約 10 万の Web サイトと数千万人のユーザーを侵害し、作成者に年間約 3,400 万ドルの利益をもたらしました。
ラークグループの襲撃。
高く評価され、多作なカスペルスキー研究チームは、Lurk の調査から「他のどの」調査よりも多くのことを学んだと述べている。
このグループは、NSAの攻撃的カスタマイズアクセス作戦部門の一部であると強く疑われている組織であるEquation Groupの発見を、近年の最も注目を集めた摘発の一つとしています。また、極めて高度なマルウェア「Flame」の発見や、Stuxnetワームの初期分析にも貢献しました。
ストヤノフ氏によれば、Anglerは当初、バンキング型トロイの木馬Lurkを配布する手段だったが、その後、非常に利益率の高い金儲け活動へと発展したという。
思い切って挑戦する
ラークは2011年頃に登場して以来、ロシアの銀行業界に衝撃を与えてきた。
このグループは、ロシアの銀行が決済に利用していた少数のリモートバンキングソフトウェアベンダーを支配していました。銀行のネットワークにインストールされたマルウェアは、ソフトウェアの存在を検索し、見つかった場合は不正な決済注文を作成できるカスタムの悪意のあるアドオンをダウンロードしてインストールします。
「サイバー犯罪者が銀行ソフトウェアの動作を徹底的に研究し、悪意のあるソフトウェアモジュールを特定の銀行ソリューションに合わせてカスタマイズしたため、このレベルの自動化が可能になった」とストヤノフ氏は言う。
ソフトウェアベンダーは対応しきれず、毎週顧客にパッチを配布していましたが、Lurkの作者がそれを弱体化させる新たな攻撃ベクトルを見つけるまで数日しか持ちませんでした。
釣り人の活動が激減。画像:F-Secure
ベンダーは、パッチ争いに変化をもたらそうと、自社のソフトウェアにアクセスできるユーザーを制限した。
窮地に陥った銀行とソフトウェアベンダーは最終的にカスペルスキーに支援を求め、システムを分析のために引き渡した。これにより、研究者たちはこれまで入手できなかったマルウェアサンプルと、このグループに関する貴重な情報を手に入れることができた。
ラークの運用上のセキュリティは厳重だったが、いくつかの失敗で、ストヤノフ氏とそのチームが約 15 人の有能なハッカーと対峙していることが明らかになった。ハッカー集団が逮捕されるまでに、その数は 50 人以上にまで増加していた。
伝説
Lurk ギャングは、同様に印象的なトロイの木馬を開発した、プロフェッショナルで熟練したグループです。
「ロシアのサイバー犯罪者向けアンダーグラウンドフォーラムで見た限りでは、Lurkギャングはほぼ伝説的な地位を占めていました」とストヤノフ氏は語る。「多くの中小規模のグループが彼らと協力する意思を示していたにもかかわらず、彼らは常に単独で行動することを好んでいました。」
Lurkグループは、ロシアのブラックハット詐欺シーンでかつて支配的だったCarberpの崩壊後に台頭し、すぐに前任者を追い越した。
人気テック界の天才たちのように、ファンは彼らの製品を熱心に消費した。衰退する収益を活性化させる手段だったAnglerは、事実上、自ら売れた。
「そのため、Lurk(グループ)が他のサイバー犯罪者にAnglerへのアクセスを提供すると、このエクスプロイトパックは特に人気が高まりました。アンダーグラウンドのトップ組織が開発した製品には宣伝が必要なかったのです」とストヤノフ氏は言う。
顧客は、ゼロデイ攻撃を含む、一連の新しくクリーンなエクスプロイトにさらされ、世界中のエンドユーザーが侵害を受けました。Flash、Java、Silverlightは頻繁にハッキングされ、ファイルレス感染やMicrosoftの定評あるセキュリティツールEMETの回避など、複雑な難読化技術によってセキュリティ対策は無効化されました。
マルバタイジングやサイレント ドライブバイ ダウンロードが、これまでに見たことのない最も洗練された詐欺インフラストラクチャを通じて配信されたため、Angler 攻撃キャンペーンの絶え間ない攻撃による被害者の数は数百万人に上りました。侵害を受ける可能性のあるユーザーのみが攻撃を受けたため、セキュリティ研究者が攻撃を発見して阻止する機会は限られていました。
一連のゲートウェイ、ハッキングされたサーバー、高速フラックス ネットワークにより、技術的な手段で Angler を阻止することが困難になり、ランサムウェアの増加は、ネットの脅威がもたらす経済的影響を増大させるだけとなりました。
エピローグ
Anglerの死後、Neutrinoが台頭してきた。巨大なリヴァイアサンの倒壊によって天蓋が開き、推定70種類にも及ぶライバルのエクスプロイトキットが次々と出現した。
Angler の終焉から数週間後、Neutrino は月額希望価格を 3,500 ドルから 7,000 ドルに倍増し、倒れた敵の肩に乗って、ゼロデイ攻撃や新たなエクスプロイトの迅速な展開を自社のサービスに組み込み始めました。
ロシアに残されたのは、勝利を誇示することだけだ。多くの国と同様に、ロシアも報道陣の前にブラックハットハッカーを繰り出すことを楽しんでいるのに、クレリムがまだそうしていないのは奇妙だ。
「ラーク捜査での私の個人的な経験から、このグループのメンバーは自分たちが絶対に捕まらないと確信していたように思います」とストヤノフ氏は語る。「彼らがそのような僭越な態度を取るのには理由がありました。彼らは違法行為の痕跡を徹底的に隠蔽し、行動の詳細を綿密に計画しようとしていました。しかし、他の人間と同じように、彼らも間違いを犯したのです。」®
