Butterfly

butterfly_004_R

シマンテックのホワイトペーパー

シマンテックは2015年7月に「SECURITY RESPONSE―Butterfly: Corporate spies out for financial gain」というホワイトペーパーを発表しました。次のような構成からなる約30ページの報告書です。

(構成)

概要

背景

企業スパイの脅威

ハイテク企業に対するButterfly攻撃

被害者

産業

対象のコンピュータ

ツール、戦術、および手順

初期のアクセスを得る

拡散

Butterflyのツールキット

運用上のセキュリティ

帰属

まとめ

保護

付録

Backdoor.Jiripbotの技術説明

ファイルのハッシュ

 

サブタイトルに「Corporate spies out for financial gain(金銭的利益を追求する産業スパイ組織)」とあるように、企業システムに焦点を合わせた産業スパイ活動を行う極めて能力の高いプロの攻撃組織についての報告書で、その組織をButterflyと名付けています。

butterfly_001_R

(SECURITY RESPONSE―Butterfly: Corporate spies out for financial gain より)

上図はButterflyの被害にあった企業や組織の数です。2014年から急にその数が増えています。この組織は2012 年から活動しているようで、シマンテックが把握しているところでは、現在までに、20 カ国で 49 の企業が Butterfly による攻撃を受けているようです。公式に攻撃を認めた企業のなかには、Twitter、Facebook、Apple、Microsoftなども含まれています。

また、表を見ると最近特に増えているのは製薬企業、物流企業、そしてテクノジー(ハイテク)企業のようですが、業種によってButterflyの攻撃の時期が違っているようです。(下図参照)

butterfly_002_R

butterfly_003_R

(SECURITY RESPONSE―Butterfly: Corporate spies out for financial gain より)

攻撃を受けた地域はアメリカが一番多く、次いで欧州の企業となっています。表ではカナダまでしか書いてありませんが、その他にも報告書では、ブラジル•中国•香港•インド•イスラエル • 日本•カザフスタン•マレーシア•モロッコ•ナイジェリア•台湾•タイ•韓国•アラブ首長国連邦などの国を挙げています。

攻撃の手法

Twitter、Facebook、Apple、Microsoftへの攻撃は、モバイル開発者が使う Web サイトに侵入し、Java のゼロデイ脆弱性を悪用してマルウェアを感染させることによって、標的に感染してしまうというものです。このときのマルウェアはOSX.Pintsized(「OS X」上にバックドアを設置するトロイの木馬)そしてWindows のバックドアBackdoor.Jiripbot(「Windows」上にバックドアを設置するトロイの木馬)が使われたとのことです。さらにOSX.PintsizedとBackdoor.Jiripbotの2つのコードは侵入の成功率を高めるために、同組織に属するプログラマーらによって攻撃対象に合わせたカスタマイズがなされているとのことです。

熟練した技術と資金を持ち、狙った企業への侵入に成功すると、自身の痕跡をきれいに消し去り、クレジットカード情報や顧客データベースを盗み出すことには興味を示さず、高次の企業情報を集中して狙うなど、正に産業スパイと言ったところです。シマンテックは、この組織に関する情報はあまり明らかでないとしながらも、盗み出した情報を最高額の入札者に売っているか、請負ハッカーとして活動している可能性があり、盗み出された情報がインサイダー取引の目的で利用されている恐れもあると言っています。

Butterflyの高い技術

報告書では「The Butterfly attackers have demonstrated excellent operational security, as we have observed in several」と、Butterflyの技術力の高さに驚きを表しています。そして次のように続けています。

複数のアンチフォレンジック技術を利用し、侵入を検知されないようにするとともに、グループのマルウェアやその他のファイルは安全にファイルアロケーションテーブルからインデックスを削除するだけでなく、ファイルの内容が上書きされ、GNU Shredというツールや、カスタムツールに書き込まれたShred機能のいずれかを使用して削除されます。同様に、イベントログには、攻撃者の活動の証拠を削除するように変更されています。

(SECURITY RESPONSE―Butterfly: Corporate spies out for financial gain より)

Butterfly は、多数のマルウェアツールやハッキングツールを独自に次々と開発しているようです。シマンテックの公式ブログには次のように記されています。

Butterfly は独自のハッキングツールも次々と開発しています。Hacktool.Securetunnel は、OpenSSH を書き換えたバージョンで、コマンド & コントロール(C&C)サーバーのアドレスとポートを、侵入先のコンピュータに渡すコードが追加されています。

・・・Hacktool.Bannerjack は、ローカルネットワーク上で脆弱な可能性のあるサーバーを特定するために使われており、これにはプリンタ、ルーター、HTTP サーバー、汎用 TCP サーバーなどが該当するとシマンテックは考えています。

・・・Hacktool.Multipurpose を利用して、侵入先のネットワーク内を自由に動き回ります。

・・・イベントログの解析、意味のあるログの出力、エントリの削除に使われるのが Hacktool.Eventlog です。Hacktool.Eventlog はプロセスの停止とセキュアな自己削除も実行します。Hacktool.Proxy.A はプロキシ接続の作成に使われ、攻撃者は仲介ノードを通じて目的のノードまでトラフィックをルーティングすることが可能になります。(一部抜粋)

(シマンテック公式ブログhttp://www.symantec.com/connect/ja/blogs/butterfly より)

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です