CrowdStrike Blog:CrowdStrike が紹介する「今月の攻撃者」~ VOODOO BEAR | ScanNetSecurity
2020.01.19(日)

CrowdStrike Blog:CrowdStrike が紹介する「今月の攻撃者」~ VOODOO BEAR

この攻撃者グループは主にウクライナの組織を標的としており、2015年に大規模な停電を引き起こした、ウクライナの電力業界を攻撃したインシデントへの関与が疑われています。

国際 海外情報
ロシア拠点の攻撃者グループ「VOODOO BEAR」
ロシア拠点の攻撃者グループ「VOODOO BEAR」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog では、「 CrowdStrike Blog 今月のサイバー攻撃者」カテゴリのバックナンバーから、ふたつのサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


ロシア拠点の攻撃者グループ「VOODOO BEAR」
 過去数年間、CrowdStrike は、各国の祝日や最も一般的な攻撃者グループの活動日、および重要な地政学的イベントを含む年次カレンダーを公開してきました。各攻撃者グループの行動と標的について CrowdStrike Falcon Intelligence のアナリストがまとめた記録に基づいて、毎月 1 つのグループを取り上げて紹介しています。今年から「今月の攻撃者」と題して、ブログ記事を月次で発表し、攻撃者の背景情報を詳細に説明しています。(編集部註:本記事初出掲載時の 2018 年 1 月 29 日当時の情報)

 2018 年 1 月度はロシア拠点の攻撃者グループ「 VOODOO BEAR 」を取り上げます。このグループは SandwormTeam あるいは BlackEnergyAPTGroup とも呼ばれています。

Voodoo Bear の手口

 VOODOO BEAR は、ロシア連邦との関係が疑われる非常に高度な技術を持つ攻撃者グループです。少なくとも 2011 年以来、このグループがコモディティマルウェア BlackEnergy のバージョン 2 と 3 をカスタマイズしてプラグインを開発して、スパイ活動や破壊活動を目的にエネルギー、産業用制御システム、SCADA、政府、メディアなどの関連組織への攻撃を行ってきたことが確認されています。

 このグループが使用したツールの一部( BlackEnergy および GCat )は、コモディティマルウェアをもとに作成されたものです。VOODOOBEAR は、PassKillDisk と呼ばれるワイパー型マルウェアも使用しています。

 VOODOO BEAR のコードには、1965 年にフランク・ハーバートが発表した SF 小説「デューン」からの引用がいくつも含まれており、2014 年終盤にはこのことが公表されました。

Voodoo Bear の標的

 この攻撃者グループは主にウクライナの組織を標的としており、2015 年に大規模な停電を引き起こしたウクライナの電力業界を攻撃したインシデントへの関与が疑われています。ゼロデイエクスプロイトや Black Energy のマルウェアをカスタム開発したプラグインを使用していること、スパイ活動や破壊活動を目的にエネルギー業界や重要インフラを攻撃しているという傾向から見て、Voodoo Bear はロシア側の利益を意図して活動していることが伺われます。

 VOODOO BEAR は、複数のロシア系ハクティビストを運営またはその活動を担う組織に組み込まれているようです。VOODOO BEAR のこれまでの活動内容は、標的型のスパイ活動や破壊工作を通してロシア経済および国家の目的をサポートする組織の活動と一致しています。

その他のロシアベースの攻撃者グループ

FancyBear
CozyBear
VenomousBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか?当社のこちらのページでは、CrowdStrikeのチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・VOODOO BEAR のような攻撃者に関する情報を御社のセキュリティ戦略に活用する方法については、FalconIntelligenceの製品ページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed(CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-january-voodoo-bear/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 複数のCDNに、サイト閲覧者に攻撃が行われる脆弱性(JVN)

    複数のCDNに、サイト閲覧者に攻撃が行われる脆弱性(JVN)

  2. OracleがJavaをアップデート、ライセンス変更にも注意(IPA、JPCERT/CC)

    OracleがJavaをアップデート、ライセンス変更にも注意(IPA、JPCERT/CC)

  3. 「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)

    「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)

  4. 上野宣はなぜ株式会社Flatt Securityの社外取締役に就任したのか

    上野宣はなぜ株式会社Flatt Securityの社外取締役に就任したのかPR

  5. 委託先企業の業務用PCが遠隔操作攻撃で操作不能に(荏原製作所、イディア)

    委託先企業の業務用PCが遠隔操作攻撃で操作不能に(荏原製作所、イディア)

  6. セキュリティソフトに「防御率の高さ」と「動きの軽快さ」の改善を期待(NTTコム オンライン)

    セキュリティソフトに「防御率の高さ」と「動きの軽快さ」の改善を期待(NTTコム オンライン)

  7. 「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社

    「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社PR

  8. 「ペットハグサイト」不正アクセスでカード情報流出、決済停止後も偽の決済フォームへ誘導(ペットハグ)

    「ペットハグサイト」不正アクセスでカード情報流出、決済停止後も偽の決済フォームへ誘導(ペットハグ)

  9. 企業のメールセキュリティは改善傾向、特に送信元ドメイン認証で顕著(デージーネット)

    企業のメールセキュリティは改善傾向、特に送信元ドメイン認証で顕著(デージーネット)

  10. DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演

    DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演

ランキングをもっと見る