CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か? | ScanNetSecurity
2020.09.27(日)

CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。

国際 海外情報
国家主導の犯罪者グループ「Fancy Bear」
国家主導の犯罪者グループ「Fancy Bear」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog は、バックナンバーから重要なサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


国家主導の犯罪者グループ「Fancy Bear」
 FancyBear(別名:APT28 または Sofacy )として知られる国家主導の犯罪者グループは、知られる限り 2008 年から活動しており、世界中のさまざまな組織にとって脅威となっています。このグループは、クロスプラットフォームの高度なマルウェアインプラントを使用して、航空宇宙、防衛、エネルギー、政府、メディア、反体制派などの分野を標的としています。

Fancy Bear の手口

 Fancy Bear のコードは、従来からあるコンピューターとモバイルデバイスを対象としています。通常、攻撃ではフィッシングメッセージと、偽の Web サイトを使用して詐取した認証情報が利用されます

 Fancy Bear は、複数の大規模な侵害行動を同時に実行する能力を持っています。ブログ記事『 BearsintheMidst 』では、CrowdStrike の CTO である Dmitri Alperovitch がこのグループによる米国の政治組織に対する攻撃活動について詳しく説明しています。この攻撃活動を行っている間に、このグループは、欧州の軍事組織を対象とする大規模な攻撃にも関与していました。

 この攻撃グループは、XAgent と呼ばれるプライマリーインプラントおよびX-Tunnel、WinIDS、Foozer、DownRange などの専用ツールやドロッパーの開発にかなりの時間を費やしました。この攻撃者の代表的なインプラントは、一般的なコンピューターやモバイルプラットフォーム向けの複数の OS に移植されています。

 このグループは、正当な組織のドメインによく似たドメインを登録することでも知られています。標的とした組織の Web ベースの電子メールサービスのルックアンドフィールを真似てフィッシングサイトを作成します。認証情報を収集するのがその目的です。

Fancy Bear の標的

 Fancy Bear はロシアを拠点とするグループですが、その攻撃の矛先は米国や西欧に留まらず、それ以外の地域にも向けられています

 世界中のさまざまな業界の企業がその標的とされています。防衛省や軍関係の組織も被害に遭っていることから、Fancy Bear の活動は、ロシア政府の戦略的な利益を強く反映するもので、ロシアの諜報サービス機関である GRU (ロシア連邦軍参謀本部情報総局)の関与も疑われています。

 ドイツ議会への攻撃や 2015 年 4 月に発生したフランスの TV 局「 TV5Monde 」に対する攻撃も Fancy Bear によるものであることが明らかにされています。

その他のロシアベースの攻撃グループ

CozyBear
VenomousBear
VoodooBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか? 当社のこちらのページでは、CrowdStrike のチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・脅威インテリジェンスを利用して企業を攻撃から防御し、エンドポイントを保護し、高度な技術を用いる攻撃者をプロアクティブに検知する詳しい方法については、CrowdStrikeFalconIntelligence のページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed( CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/who-is-fancy-bear/

《CrowdStrike編集チーム (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 日本年金機構情報漏洩事件をMITRE ATT&CKフレームワークでふりかえる

    日本年金機構情報漏洩事件をMITRE ATT&CKフレームワークでふりかえる

  2. Emotet感染しなりすましメールを大量送信、注意を呼びかけ(理研香料ホールディングス、理研香料工業)

    Emotet感染しなりすましメールを大量送信、注意を呼びかけ(理研香料ホールディングス、理研香料工業)

  3. mijicaカードを悪用し不正送金、被害額は332万2千円に(ゆうちょ銀行)

    mijicaカードを悪用し不正送金、被害額は332万2千円に(ゆうちょ銀行)

  4. 社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

    社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

  5. ウイルスバスター クラウド(Windows版)のActive Update機能に複数の脆弱性(JVN)

    ウイルスバスター クラウド(Windows版)のActive Update機能に複数の脆弱性(JVN)

  6. 雑貨・ファッション扱う「CINRA.STORE」に不正アクセス、半年分の決済情報が流出(CINRA)

    雑貨・ファッション扱う「CINRA.STORE」に不正アクセス、半年分の決済情報が流出(CINRA)

  7. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  8. 「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

    「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

  9. 株取引ツールへ不正アクセス、208件の口座がログインされた可能性(岡三オンライン証券)

    株取引ツールへ不正アクセス、208件の口座がログインされた可能性(岡三オンライン証券)

  10. 国内標的型サイバー攻撃対策ソリューション、2019年市場185億円(IDC Japan)

    国内標的型サイバー攻撃対策ソリューション、2019年市場185億円(IDC Japan)

ランキングをもっと見る