CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か? | ScanNetSecurity
2021.10.22(金)

CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。

国際 海外情報
国家主導の犯罪者グループ「Fancy Bear」
国家主導の犯罪者グループ「Fancy Bear」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog は、バックナンバーから重要なサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


国家主導の犯罪者グループ「Fancy Bear」
 FancyBear(別名:APT28 または Sofacy )として知られる国家主導の犯罪者グループは、知られる限り 2008 年から活動しており、世界中のさまざまな組織にとって脅威となっています。このグループは、クロスプラットフォームの高度なマルウェアインプラントを使用して、航空宇宙、防衛、エネルギー、政府、メディア、反体制派などの分野を標的としています。

Fancy Bear の手口

 Fancy Bear のコードは、従来からあるコンピューターとモバイルデバイスを対象としています。通常、攻撃ではフィッシングメッセージと、偽の Web サイトを使用して詐取した認証情報が利用されます

 Fancy Bear は、複数の大規模な侵害行動を同時に実行する能力を持っています。ブログ記事『 BearsintheMidst 』では、CrowdStrike の CTO である Dmitri Alperovitch がこのグループによる米国の政治組織に対する攻撃活動について詳しく説明しています。この攻撃活動を行っている間に、このグループは、欧州の軍事組織を対象とする大規模な攻撃にも関与していました。

 この攻撃グループは、XAgent と呼ばれるプライマリーインプラントおよびX-Tunnel、WinIDS、Foozer、DownRange などの専用ツールやドロッパーの開発にかなりの時間を費やしました。この攻撃者の代表的なインプラントは、一般的なコンピューターやモバイルプラットフォーム向けの複数の OS に移植されています。

 このグループは、正当な組織のドメインによく似たドメインを登録することでも知られています。標的とした組織の Web ベースの電子メールサービスのルックアンドフィールを真似てフィッシングサイトを作成します。認証情報を収集するのがその目的です。

Fancy Bear の標的

 Fancy Bear はロシアを拠点とするグループですが、その攻撃の矛先は米国や西欧に留まらず、それ以外の地域にも向けられています

 世界中のさまざまな業界の企業がその標的とされています。防衛省や軍関係の組織も被害に遭っていることから、Fancy Bear の活動は、ロシア政府の戦略的な利益を強く反映するもので、ロシアの諜報サービス機関である GRU (ロシア連邦軍参謀本部情報総局)の関与も疑われています。

 ドイツ議会への攻撃や 2015 年 4 月に発生したフランスの TV 局「 TV5Monde 」に対する攻撃も Fancy Bear によるものであることが明らかにされています。

その他のロシアベースの攻撃グループ

CozyBear
VenomousBear
VoodooBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか? 当社のこちらのページでは、CrowdStrike のチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・脅威インテリジェンスを利用して企業を攻撃から防御し、エンドポイントを保護し、高度な技術を用いる攻撃者をプロアクティブに検知する詳しい方法については、CrowdStrikeFalconIntelligence のページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed( CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/who-is-fancy-bear/

《CrowdStrike編集チーム (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

    若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

  2. 「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム

    「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム

  3. 株式会社祭の業務委託メンバーが不正アクセス、会計情報を公開

    株式会社祭の業務委託メンバーが不正アクセス、会計情報を公開

  4. ウイルス感染で東亜電気がシステム障害、復旧するも社内情報の一部漏えい確認

    ウイルス感染で東亜電気がシステム障害、復旧するも社内情報の一部漏えい確認

  5. 東大管理のサーバに管理者権限で不正アクセス、IDと暗号化されたパスワード等流出の可能性

    東大管理のサーバに管理者権限で不正アクセス、IDと暗号化されたパスワード等流出の可能性

  6. 不正アクセスで日産証券オンライントレードシステムに障害発生、現行システムでの廃止を決定

    不正アクセスで日産証券オンライントレードシステムに障害発生、現行システムでの廃止を決定

  7. コックフーズへランサムウェア攻撃、業務データの多くが暗号化

    コックフーズへランサムウェア攻撃、業務データの多くが暗号化

  8. オリエンタルコンサルタンツへのランサムウェア攻撃、データの外部送信の可能性は否定できず対象も不明

    オリエンタルコンサルタンツへのランサムウェア攻撃、データの外部送信の可能性は否定できず対象も不明

  9. 発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

    発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

  10. オリンパス、米州での不正アクセスで一部データ流出の可能性

    オリンパス、米州での不正アクセスで一部データ流出の可能性

ランキングをもっと見る