情報収集を目的としたサイバースパイTurlaはサイバーセキュリティの世界でよく知られている。少なくとも2007年には活動をしており、世界中で継続的にスパイ活動を展開している。ターゲットは政府機関から軍、研究所、企業と多岐にわたっており、その活動拠点はロシアとも言われている。米国家安全保障局(NSC)と英サイバーセキュリティセンター(NCSC)はこのほどTurlaに関するレポートを公表、Turlaは中東地域の情報収集にイランのAPTインフラを利用していたことがわかったという。
NCSCによると、Turlaによるサイバースパイ活動ではNeuronとNautilusというツールが使用されている。中東でのNeuronとNautilusの被害者を調査したところ、一部はTurlaグループに関連するインフラからNeuronやNautilusが展開され、管理も同じインフラによって行われていたが、他の多くはオープンソースのサイバーセキュリティコミュニティで、イランのAPT(標的型攻撃)グループに関連付けられたVirtual Private Server(VPS)IPアドレスから接続され、その後、Turlaグループによって利用されていたことがわかったという。
つまり、イラン起因とみられるサイバー攻撃でターゲットに埋め込まれたマルウェアに後からTurlaがアクセスをして、イラン由来のNeuronとNautilusを利用してTurlaが情報を盗み取っていた実態があったということのようだ。NCSCによると、NeuronまたはNautilusの背後にいる人々は、Turlaによって使用されている実態を認識していないとのことなので、ロシアに拠点があるとされるTurlaの活動とイランのAPTグループの活動は連携しているものではなく、Turlaが自らのサイバースパイ活動にイランのAPTインフラを一方的に利用していたということのようだ。
アメリカのサイバーセキュリティ企業、シマンテックは今年6月にTurlaの攻撃には3つの波があることを指摘。1つはNeptunと呼ばれるバックドアが使用されているもので、この攻撃のインフラにはAPT34(別名oilRig)として知られるスパイグループのインフラが使用されていた。シマンテックのブログは指摘していないが、APT34(別名oilRig)はイランのサイバー攻撃グループとみられている。もう1つはMeterpreterを使った攻撃で、Turlaは少なくとも2018年初頭からMeterpreterを使用しているという。3つめはMeterpreterを使用した攻撃とは異なるカスタムRPCバックドアを展開したもの。シマンテックは、中東のターゲットに対する攻撃でTurlaがAPT34グループのサイバー攻撃のインフラをハイジャックし、APT34のインフラを利用してターゲットのネットワークにマルウェアを配信したと指摘、両者の関係については「敵対的買収関係」との見方をしている。
【出典・参考】
・2019年10月21日 Turla group exploits Iranian APT to expand coverage of victims
・ 2019年10月21日 NSA and NCSC Release Joint Advisory on Turla Group Activity
・ 2019年10月 Russian Turla group masqueraded as Iranian hackers in attacks
・2019年6月21日 Waterbug: Espionage Group Rolls Out Brand-New Toolset in Attacks Against Governments
・ 2018年1月 NCSC Turla group malware
