ロシアとの関係が取りざたされるTurla イランのサイバー攻撃インフラを利用か

情報収集を目的としたサイバースパイTurlaはサイバーセキュリティの世界でよく知られている。少なくとも2007年には活動をしており、世界中で継続的にスパイ活動を展開している。ターゲットは政府機関から軍、研究所、企業と多岐にわたっており、その活動拠点はロシアとも言われている。米国家安全保障局(NSC)と英サイバーセキュリティセンター(NCSC)はこのほどTurlaに関するレポートを公表、Turlaは中東地域の情報収集にイランのAPTインフラを利用していたことがわかったという。

NCSCによると、Turlaによるサイバースパイ活動ではNeuronとNautilusというツールが使用されている。中東でのNeuronとNautilusの被害者を調査したところ、一部はTurlaグループに関連するインフラからNeuronやNautilusが展開され、管理も同じインフラによって行われていたが、他の多くはオープンソースのサイバーセキュリティコミュニティで、イランのAPT(標的型攻撃)グループに関連付けられたVirtual Private Server(VPS)IPアドレスから接続され、その後、Turlaグループによって利用されていたことがわかったという。

つまり、イラン起因とみられるサイバー攻撃でターゲットに埋め込まれたマルウェアに後からTurlaがアクセスをして、イラン由来のNeuronとNautilusを利用してTurlaが情報を盗み取っていた実態があったということのようだ。NCSCによると、NeuronまたはNautilusの背後にいる人々は、Turlaによって使用されている実態を認識していないとのことなので、ロシアに拠点があるとされるTurlaの活動とイランのAPTグループの活動は連携しているものではなく、Turlaが自らのサイバースパイ活動にイランのAPTインフラを一方的に利用していたということのようだ。

アメリカのサイバーセキュリティ企業、シマンテックは今年6月にTurlaの攻撃には3つの波があることを指摘。1つはNeptunと呼ばれるバックドアが使用されているもので、この攻撃のインフラにはAPT34(別名oilRig)として知られるスパイグループのインフラが使用されていた。シマンテックのブログは指摘していないが、APT34(別名oilRig)はイランのサイバー攻撃グループとみられている。もう1つはMeterpreterを使った攻撃で、Turlaは少なくとも2018年初頭からMeterpreterを使用しているという。3つめはMeterpreterを使用した攻撃とは異なるカスタムRPCバックドアを展開したもの。シマンテックは、中東のターゲットに対する攻撃でTurlaがAPT34グループのサイバー攻撃のインフラをハイジャックし、APT34のインフラを利用してターゲットのネットワークにマルウェアを配信したと指摘、両者の関係については「敵対的買収関係」との見方をしている。

【出典・参考】

2019年10月21日 Turla group exploits Iranian APT to expand coverage of victims

2019年10月21日 NSA and NCSC Release Joint Advisory on Turla Group Activity

2019年10月 Russian Turla group masqueraded as Iranian hackers in attacks

British spooks expose Russian-based cyber hacking gang masquerading as Iranian crooks after they targeted a UK academic organisation

2019年6月21日 Waterbug: Espionage Group Rolls Out Brand-New Toolset in Attacks Against Governments

2018年1月 NCSC  Turla group malware

痕跡を残さない新たなサイバー攻撃が相次ぐ、攻撃コードをメモリーに読み込ませる

2015年9月ロシア語話者によるサイバースパイ集団、衛星を悪用


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です