2011年に日本の国会を標的としたハッキンググループは、過去2年間にわたり、防衛関連企業を含む主に韓国と日本の組織に対して機敏なデータ窃盗を行っていたとみられる。
セキュリティベンダーのカスペルスキー研究所が水曜日に同グループに関する68ページの報告書を発表したところによると、「アイスフォッグ」のハッカーたちは被害者を一人ずつ調査し、厳選したファイルを慎重にコピーしてシステムから脱出したという。
「攻撃の性質も非常に集中的でした」とカスペルスキーは記している。「多くの場合、攻撃者は既に何を探しているのか分かっていました。」
過去数年間、セキュリティアナリストは、侵入者がサイバースパイ活動を目的としてネットワークにステルス性の高いマルウェアを仕掛ける、いわゆる「高度な持続的脅威」(APT)攻撃の増加に気づいている。
「今後、現代世界の『サイバー傭兵』とも言える、ヒットアンドラン攻撃に特化した、小規模で集中的なAPT攻撃グループの数が増加すると予測している」と報告書は述べている。
画像: カスペルスキー研究所カスペルスキーは被害を受けた組織名を明らかにしなかったが、Icefogの標的となった組織名をいくつか挙げた。同社は、政府機関向けに詳細な情報を含む非公開レポートを提供していると述べた。
標的となった企業には、防衛関連企業のLig Nex1とSelectron Industrial Company、造船会社のDSME TechとHanjin Heavy Industries、韓国通信、フジテレビ、日中経済協会などが含まれていた。カスペルスキー社は、これらの企業名が挙がったからといって、Icefog攻撃が成功したとは限らないと述べている。
カスペルスキー社によると、アイスフォッグは2011年に同グループが日本の国会を標的にした後に発見され、その攻撃は今年も続いているという。
カスペルスキー社は、盗まれたデータの転送先に基づいて、攻撃者は中国、韓国、日本にいると推定されると記している。
ハッカーは電子メールで被害者を狙い、Microsoft Word、Adobe Readerなどのプログラムやオペレーティングシステムにソフトウェアの脆弱性がある場合に被害者のコンピュータを攻撃する悪質な添付ファイルやウェブサイトへのリンクを送りつけます。
Mac OS Xシステムも標的となっています。カスペルスキーは、感染したIPアドレスが4,500件に上り、430人以上の被害者に関係していることを確認しました。グラフィックアプリケーションを装ったMacfogマルウェアは、昨年末に複数の中国語フォーラムで出現しました。
「Mac OS Xのバックドアは現在、セキュリティソリューションではほとんど検出されず、世界中で数百人の被害者が感染している」と報告書は述べている。
コンピュータが侵入されると、ハッカーは悪意のあるツールやバックドアをアップロードします。カスペルスキーによると、ハッカーはメールアカウントの認証情報、機密文書、他のシステムのパスワードなどを探します。
ハッカーが目的のものを見つけた後、Icefog の攻撃者はシステムから退出する傾向があります。
「この攻撃の『ヒット・アンド・ラン』的な性質は、この攻撃を異例なものにしている点の一つだ」と報告書は述べている。「他のケースでは、被害者は数ヶ月、あるいは数年も感染したままになり、データは継続的に盗み出されるが、Icefogの攻撃者は被害者から何を得ようとしているのかを非常によく理解しているようだ。」
