最近ソニー・ピクチャーズ・エンタテインメントへの攻撃に使用された、データ消去機能を備えたマルウェア プログラムは、過去に韓国や中東の組織に影響を与えた破壊的なマルウェアと技術的な類似点を持っています。
カスペルスキー研究所、シマンテック、ブルーコートシステムズのセキュリティ研究者はそれぞれ、ソニー・ピクチャーズへの攻撃で使用された悪意あるプログラム「トロイの木馬 Destover」が、データとマスターブートレコードを上書きするために EldoS RawDisk と呼ばれる正規の商用ドライバを利用していたと報告した。
この同じドライバは、2012 年 8 月にサウジアラビアの国営石油会社サウジアラムコで最大 30,000 台のコンピュータを操作不能にするのに使用されたと考えられている Shamoon と呼ばれるマルウェアでも使用されていました。
これまで知られていなかったハクティビスト集団「カッティング・ソード・オブ・ジャスティス」が、Pastebinへの一連の投稿を通じて、サウジアラムコへの攻撃の責任を主張した。同集団は、同社がサウジアラビアのサウード政権の主要な資金源であり、シリア、バーレーン、イエメン、レバノン、エジプトなどの国々における政府の抑圧的な行動を支援していると主張した。
ソニー・ピクチャーズ・エンタテインメントへの攻撃は、これまで知られていなかった「平和の守護者(GOP)」と呼ばれる別のグループによって実行された。同グループは、「ソニーとソニー・ピクチャーズは近年、ひどい人種差別と人権侵害、無差別な暴政、組織再編を行ってきた」ため、同社を標的にしたと主張している。
サードパーティ製のドライバーが共有されているだけでは、2 つのマルウェア プログラム間の直接的なつながりを証明するには不十分ですが、特に EldoS RawDisk ドライバーがデータ消去機能を実装するための珍しい選択であることから、Destover の作成者が Shamoon から手法をコピーした可能性はあります。
Destover と Shamoon はどちらも EldoS RawDisk ドライバをリソース セクションに保存しており、どちらも攻撃に使用される数日前にコンパイルされたと Kaspersky Lab の研究者がブログ投稿で述べています。
Destover は、2013 年 3 月に韓国の複数の銀行や放送局に影響を与えた DarkSeoul または Jokra と呼ばれる別のワイパー マルウェア プログラムとさらに多くの共通点を持っています。
「Jokra攻撃で使用されたマルウェアには、設定された時間が経過するまでハードドライブの消去を開始しないコードが含まれていました」と、シマンテックの研究者はブログ投稿で述べています。「Destoverも遅延消去を実行するように設定されています。さらに、韓国のメディアは、両方の攻撃で類似したファイル名がいくつか使用されていたと報じています。」
Jokra攻撃は、ウェブサイトの改ざんを伴い、「Whois Team」と呼ばれる無名のハッカー集団からのメッセージが表示されました。「これは私たちの運動の始まりです。ユーザーアカウントとすべてのデータは私たちの手中にあります」とメッセージには書かれていました。
GOP はソニー・ピクチャーズにもメッセージを残し、同社が内部データを入手したことを知らせている。GOP と Whois チームの両方のメッセージには骸骨の画像が添付されていたが、これは単なる偶然かもしれない。
「DarkSeoulと同様に、Destoverワイパーの実行ファイルは攻撃の48時間前から攻撃当日までの間にコンパイルされた」とカスペルスキーの研究者は述べている。「攻撃者がスピアフィッシングで多数のユーザーに侵入した可能性は極めて低く、むしろ攻撃前にネットワーク全体への自由なアクセスを獲得していた可能性が高い」
シマンテックは、Destover と、攻撃者がシステム情報を取得し、コマンドを実行し、ファイルをアップロードし、実行用にファイルをダウンロードすることを可能にする Volgmer と呼ばれるバックドア プログラムとの間のより直接的な接続を確立しました。
「Destoverの一部のサンプルは、韓国を標的とした攻撃用に作成されたTrojan.Volgmerの亜種でも使用されているコマンド&コントロール(C&C)サーバーに通信を送信します」とシマンテックの研究者らは述べています。「C&Cサーバーが共通であることから、両方の攻撃の背後には同じグループがいる可能性があります。」
デストーバーと韓国の組織を標的としたマルウェアとの明らかな関連性は、ソニー・ピクチャーズ・エンタテインメントへの攻撃の背後に北朝鮮がいるのではないかという憶測をますます強めるだろう。この攻撃は、CIAから北朝鮮の指導者、金正恩暗殺を依頼された2人の記者を描いたコメディ映画「ザ・インタビュー」への報復とされている。北朝鮮は、この攻撃への関与を否定していると報じられている。
これらの共通点は「Shamoonの背後にいるグループがDarkSeoulとDestoverの背後にいるグループと同一であることを証明するものではない」とカスペルスキーの研究者は述べている。「しかし、反動的な出来事や、両グループの活動内容やツールセットの特徴には、いずれも顕著な類似点があることは注目すべきだ。そして、これほど異常かつ集中的な大規模サイバー破壊行為が、明らかに認識できる類似性をもって実行されていることは、驚くべきことだ。」
