本ブログ記事は、2020年10月7日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
BlackBerryは10月7日、公に認知されている一方で、極めて正体を特定しづらく、忍耐強くかつ成果を残している脅威アクター「BAHAMUT(バハムート)」に関して、その正確な活動範囲と高度な技術を明らかにした最新の調査結果を発表しました。レポートにおいて、BlackBerryのリサーチチームは、政府高官や業界の著名人を標的とした現在進行中の圧倒的な数の攻撃を、BAHAMUTによるものと関連付け、さらに、特定の政治的主張を助長し、NGO活動を妨害するために、同グループが保有する膨大な虚偽情報資産のネットワークが存在することも明らかにしています。
本レポート「BAHAMUT: Hack-for-Hire Masters of Phishing, Fake News, and Fake Apps」では、BAHAMUTに関する新たな洞察と、これまでの高度で膨大な虚偽情報キャンペーンの手法を明らかにしています。BlackBerryのリサーチ&インテリジェンスチームは、BAHAMUTが、価値が高いとされる標的の情報を得る目的で、ある特定の主張を助長し、詐欺的なソーシャルメディアのペルソナや虚偽情報を掲載したニュースサイト全体の構築に関与し、大量のフェイクニュースの発信元であることを特定しました。
BlackBerryのリサーチ・オペレーション担当バイスプレジデントであるEric Milamは、次のように述べています。「BlackBerryチームがBAHAMUTの攻撃と特定できた、悪意あるアクティビティの高度な技術と活動範囲は、圧倒的です。BAHAMUTは、研究者を長年悩ませてきた、様々な未解決事件の原因であっただけでなく、特定の標的に向けた手の込んだ多数のフィッシング/クレデンシャルハーベスティング・キャンペーンや、数百件もの新しいWindowsマルウェア・サンプル、ゼロデイ・エクスプロイトの使用、アンチフォレンジック/アンチウイルス戦術などの実行者であることも判明しています。」
さらにレポートでは、モバイルデバイスへの標的型攻撃の拡大と、Google PlayやApple iOS App Storeでの十数件のアプリケーションの公開、そして、標的への不正アクセス時のBAHAMUTの非常に忍耐強いアプローチを取り上げています。BlackBerryは、重要な点として、BAHAMUTによる標的と攻撃は広範囲であるにも関わらず、識別可能なパターンや統一的な動機が欠如していることから、同グループが「雇われハッカー」の傭兵集団として行動している可能性が高いことを確認しています。
Milamは、さらに次のように述べています。「BAHAMUTは、オペレーショナルセキュリティが平均を大きく上回っている点で、珍しいグループであり、彼らを突き止めることは困難です。彼らはマルウェアを最終手段として使用し、フィッシングに精通しています。また、企業・団体への侵入手段として、特定個人のスマートフォンに狙いを定める傾向があります。さらに、極めて細部にまで気を配り、何よりも忍耐強く、場合によっては、1年以上もの間、標的を監視することが判明しています。」
フェイクニュース帝国を建設
BlackBerryが発見したBAHAMUTのスキル・手法の最も際立った側面はおそらく、入念に構築したオリジナルのWebサイト、アプリケーション、ペルソナの使用にあります。
少なくとも1件の事例として、同グループが、元は情報セキュリティ関連のニュースサイトのものであったドメインを乗っ取り、他の「雇われハッカー」グループに関する地政学、研究、産業関連のニュースに特化したコンテンツ配信を開始しました。そして、実在のジャーナリスト(米国の地元のニュースキャスターを含む)の氏名と写真を使用した、偽の「寄稿者」一覧をあたかも本物のように掲載していました。BAHAMUTが作成した「ニュース」サイトには、正当性を装うために、ソーシャルメディアのアカウントや他のWebサイトも記載されている事例もありました。
悪意あるモバイルアプリケーション:見た目以上の内容
レポートでは、Apple App Store上の9件の悪意あるiOSアプリケーションのほか、構成や独自のネットワークサービスの痕跡が示されたことで、BAHAMUTと直接関連付けられる、一連のAndroidアプリケーションを特定しました。これらのアプリケーションは、脅威アクターが見落としがちな要素であるWebサイトのデザイン性やプライバシーポリシー、利用規約の記載が整っており、そのため、GoogleとAppleの両社の審査を通過できました。
BlackBerryが調査したこれらのアプリケーションは、ダウンロード先がアラブ首長国連邦(UAE)にリージョンロックされていたことから、同国を標的としていると判断されました。さらに、ラマダンをテーマとするアプリケーションや、シク分離主義運動を呼びかけるものなど、BAHAMUTが特定の宗教・政治グループを標的とする意図を持っていたことが示唆されます。
BAHAMUT脅威レポートにおける上記以外の主な調査結果
BAHAMUTの名付け親は、オープンソースのインテリジェンスサイト「Bellingcat」の調査チームです。BAHAMUTは、公開ツールを悪用し、他の脅威グループを模倣し、戦術を頻繁に変更することから、これまで、そのアトリビューション(帰属性)の特定は困難でした。しかし、BlackBerryは、EHDEVEL、WINDSHIFT、URPAGE、THE WHITE COMPANYの名称により、20社以上のセキュリティ企業やNGOが調査していたエクスプロイト活動の背後にこの脅威グループが存在すること、また、最も重要な点として、Kasperskyの2016年「InPageゼロデイ攻撃」調査で取り上げられた無名の脅威グループがBAHAMUTであることを、確信を持って報告しています。
本レポートでは、以下の通り、BAHAMUTに関する上記以外の重要な考察があります。
- 少なくとも1人のゼロデイ開発者は、今日知られている他の脅威アクターグループの大半を上回るレベルのスキルを持っています。
- フィッシング攻撃やクレデンシャルハーベスティングの使用は、極めて正確に標的を狙っており、攻撃前の標的に対しては、協調的でしっかりとした偵察オペレーションが遂行されています。
- 南アジアと中東でのクラスター化された標的活動により、「雇われハッカー」集団である可能性が高まっています。
- 一連のツール、戦術、標的からは、同グループの資金やリソースが潤沢で、セキュリティ研究に精通している点が示唆されます。
BlackBerryは、本レポートの発表に先立ち、可能な限り多くの標的とされた個人、政府、企業、非営利組織に通知を出すよう取り組みました。
本レポートのダウンロードはこちら
www.blackberry.com/bahamut-report.
