TRITON の帰属: ロシア政府所有の研究所が TRITON 攻撃者向けのカスタム侵入ツールを作成した可能性が最も高い

概要

以前のブログ投稿で、重要なインフラストラクチャ施設で産業用制御システム (ICS) に影響を与えたTRITON の侵入について詳しく説明しました。現在、このアクティビティ セットを TEMP.Veles として追跡しています。このブログ投稿では、TEMP.Veles と、ロシア政府所有の研究機関への TRITON の侵入に関するその活動に関連する追加情報を提供します。

TRITON の侵入はロシアのリンクを示しています。ロシアの研究機関が支援している可能性が高い

FireEye Intelligence は、TRITON の配備につながった侵入活動が、モスクワにあるロシア政府所有の技術研究機関である、化学および力学の中央科学研究所 (CNIIHM、別名 ЦНИИХМ) によって支援されたことを確信を持って評価しています。この評価を裏付ける次の要因について、この投稿で詳しく説明します。この評価を裏付けるために可能な限り多くの公開情報を提示しますが、信頼性の高い評価にさらに寄与する機密情報は差し控えました。

  1. FireEye は、TEMP.Veles の活動をサポートしている可能性が非常に高いマルウェア開発活動を発見しました。これには、悪意のあるソフトウェアの複数のバージョンのテストが含まれます。そのうちのいくつかは、TRITON の侵入中に TEMP.Veles によって使用されました。
  2. このテスト活動の調査により、ロシア、CNIIHM、およびモスクワの特定の人物との複数の独立したつながりが明らかになりました。この人物のオンライン活動は、CNIIHM への重要なリンクを示しています。
  3. TEMP.Veles は、CNIIHM に登録された IP アドレスを、TRITON のオープンソース カバレッジの監視、ネットワーク偵察、TRITON の侵入を支援する悪意のある活動の監視など、複数の目的で使用しています。
  4. TEMP.Veles の活動で観察された行動パターンは、CNIIHM が位置するモスクワのタイム ゾーンと一致しています。
  5. CNIIHM は、TRITON と TEMP.Veles の運用の編成と開発を支援するために必要な制度的知識と人員を保有している可能性が高いと判断します。

CNIIHM の 1 人または複数の従業員が雇用主の承認なしに TEMP.Veles の活動を行った可能性を排除することはできませんが、この投稿で共有されている詳細は、この説明が機関の支援を受けて TEMP.Veles が活動している場合よりも妥当性が低いことを示しています。

詳細

マルウェアのテスト活動は、TEMP.Veles と CNIIHM の間のリンクを示唆しています

TEMP.Veles の活動を調査したところ、グループが標的の環境に展開した複数の固有のツールが見つかりました。ハッシュによって識別されるこれらの同じツールのいくつかは、1 人のユーザーによってマルウェア テスト環境で評価されました。

TEMP.Veles に関連付けられたマルウェア テスト環境

私たちは、いくつかの TEMP.Veles ツールを改良するために使用された、高い信頼性を持って評価したマルウェア テスト環境を特定しました。

  • このマルウェア テスト環境の使用は、TEMP.Veles のネットワーク内アクティビティと関連している場合があり、侵入アクティビティに対する直接的な運用サポートを示しています。
    • 2014 年にテストされた 4 つのファイルは、オープンソース プロジェクトの cryptcat に基づいています。これらの cryptcat バイナリの分析は、攻撃者が AV の検出率を低下させるために継続的に変更したことを示しています。これらのファイルの 1 つは、TEMP.Veles ターゲットのネットワークに展開されました。検出数が最も少ないコンパイル済みバージョンは、2017 年に再テストされ、1 週間も経たないうちに、ターゲット環境での TEMP.Veles の活動中に展開されました。
    • TEMP.Veles のラテラル ムーブメント アクティビティでは、公開されている PowerShell ベースのツールである WMImplant が使用されました。 2017 年の複数の日付で、TEMP.Veles は複数の犠牲システムでこのユーティリティを実行するのに苦労しましたが、これはおそらく AV 検出が原因でした。その後すぐに、カスタマイズされたユーティリティがマルウェア テスト環境で再度評価されました。翌日、TEMP.Veles は侵害されたシステムでこのユーティリティを再試行しました。
  • このユーザーは少なくとも 2013 年からマルウェア テスト環境で活動しており、Metasploit、Cobalt Strike、PowerSploit などのプロジェクトを含む複数のオープンソース フレームワークのカスタマイズ バージョンをテストしています。ユーザーの開発パターンは、AV 回避と代替コード実行手法に特に注意を払っているようです。
  • Mandiant が実施した調査で TEMP.Veles が使用するカスタム ペイロードは、通常、コマンド アンド コントロールに使用されるコードで改造された、正規のオープンソース ソフトウェアの武器化されたバージョンです。

テスト、マルウェア アーティファクト、および悪意のあるアクティビティが CNIIHM とのつながりを示唆

複数の要因から、この活動はロシア起源であり、CNIIHM に関連していることが示唆されています。

  • テストしたファイルに含まれる PDB パスには、一意のハンドル名またはユーザー名と思われる文字列が含まれていました。このあだ名は、少なくとも 2011 年以来、ロシアの情報セキュリティ コミュニティで活動しているロシアを拠点とする人物に関連付けられています。
    • このハンドルは、ハッカー マガジン (хакер) のロシア語版への脆弱性研究の貢献でクレジットされています。
    • 今は亡きソーシャル メディアのプロフィールによると、同じ人物が、モスクワのナガティーノ サドヴニキ地区のナガチンスカヤ通り近くにある CNIIHM の教授でした。
    • 現在、ロシアのソーシャル ネットワークでこのハンドル名を使用している別のプロファイルには、プロファイルの全履歴について、モスクワに近いユーザーの複数の写真が表示されています。
  • 疑わしい TEMP.Veles インシデントには、CNIIHM に登録されている 87.245.143.140 から発信された悪意のある活動が含まれています。
    • この IP アドレスは、TRITON のオープン ソース カバレッジを監視するために使用されており、TEMP.Veles 関連の活動において、このネットワークから発信された未知の対象者による関心の可能性が高まっています。
    • また、TEMP.Veles が関心を持っているターゲットに対するネットワーク偵察も行っています。
    • IP アドレスは、TRITON の侵入をサポートする追加の悪意のある活動に関連付けられています。
  • 複数のファイルにキリル文字の名前とアーティファクトがあります。
Heatmap of TRITON attacker operating hours, represented in UTC time
図 1: UTC 時間で表された TRITON 攻撃者の稼働時間のヒートマップ
モスクワのタイムゾーンと一致する行動パターン

攻撃者の行動アーティファクトは、TEMP.Veles の運用者がモスクワに拠点を置いていることをさらに示唆しており、モスクワにあるロシアの研究機関である CNIIHM が TEMP.Veles の活動に関与しているというシナリオをさらに裏付けています。

  • 私たちは、標的のネットワーク上でのラテラル ムーブメント中に TEMP.Veles が作成した多数のファイルのファイル作成時間を特定しました。これらのファイル作成時間は、モスクワへの近接性をサポートする UTC+3 タイム ゾーン (図 1) 内で活動するアクターに典型的な作業スケジュールに準拠しています。
変更されたサービス構成
図 2: 変更されたサービス構成
  • TEMP.Veles ツールセットから回収された追加の言語アーティファクトも、このような地域のつながりと一致しています。
    • 調査中に回収された ZIP アーカイブ schtasks.zip には、マスカレード サービス「ProgramDataUpdater」の XML スケジュール タスク定義の 2 つのバージョンを含む CATRUNNER のインストーラーとアンインストーラーが含まれていました。
    • 悪意のあるインストール バージョンのタスク名と説明は英語であり、クリーン アンインストール バージョンのタスク名と説明はキリル文字です。 ZIP 内の変更日のタイムラインからも、攻撃者がロシア語版を順番に英語に変更したことが示唆されており、その起源を意図的に隠蔽しようとしている可能性が高まっています (図 2)。
化学力学中央研究所 (CNIIHM) (Google Maps)
図3:化学力学中央研究所(CNIIHM)(Googleマップ)
CNIIHM は、TRITON を作成し、TEMP.Veles の運用をサポートするために必要な制度上の知識と人員を保有している可能性が高い

TEMP.Veles が TRITON 攻撃フレームワークを展開したことはわかっていますが、CNIIHM がツールを開発した (または開発しなかった) ことを証明する具体的な証拠はありません。 CNIIHM は、研究所の自称ミッションやその他の公開情報に基づいて、TRITON の開発とプロトタイプ作成に必要な機関の専門知識を保持している可能性が高いと推測されます。

  • CNIIHM には、重要なインフラストラクチャ、企業の安全性、および武器/軍事機器の開発の経験を持つ少なくとも 2 つの研究部門があります。
    • 応用研究センターは、破壊的な情報や技術の影響から重要なインフラストラクチャを保護するための手段と方法を作成します。
    • 実験機械工学センターは、武器、軍用および特殊装備を 開発しています。また、緊急時に企業の安全を確保するための方法も研究しています。
  • CNIIHM は、以下を含む他の国家技術および開発組織と正式に協力しています。
    • 応用物理学、計算科学、化学、生物学を専門とするモスクワ物理工科大学 (PsyTech)。
    • ロシア連邦の 43 の科学センター (SSC RF) を調整する国家科学センター協会「ナウカ」。その主な関心分野には、核物理学、コンピューター サイエンスと計測器、ロボット工学と工学、電気工学などが含まれます。
    • 連邦技術輸出管理局 (FTEC) は、輸出管理、知的財産、および機密情報の保護を担当しています。
    • ロシアのミサイル・砲兵科学アカデミー (PAPAH) は、ロシアの防衛産業複合体を強化するための研究開発を専門としています。
  • CNIIHM の公式ドメインにリンクされているロシアの募集Web サイトからの情報によると、CNIIHM は、コンピューター支援設計と制御のためのインテリジェント システムの開発、および新しい情報技術の作成にも専念していることを示しています (図 4)。
CNIIHMウェブサイトのホームページ
図 4: CNIIHM Web サイトのホームページ

主な代替説明の可能性が低い

1 人または複数の CNIIHM 従業員が、雇用主の承認なしに TEMP.Veles を CNIIHM にリンクする活動を行った可能性が残っています。ただし、このシナリオはほとんどありません。

  • このシナリオでは、少なくとも 1 人の CNIIHM 従業員を含む可能性が高い 1 人または複数の人物が、CNIIHM の知識と複数の承認なしに、CNIIHM のアドレス空間から大規模でリスクの高いマルウェアの開発と侵入活動を行わなければならなかったでしょう。年。
  • CNIIHM の特徴は、TEMP.Veles の活動を担当する組織に期待されるものと一致しています。 TRITON は高度に専門化されたフレームワークであり、その開発は、少数の侵入オペレーターの能力の範囲内です。

参照: https://www.mandiant.com/resources/blog/triton-attribution-russian-government-owned-lab-most-likely-built-tools

コメント

タイトルとURLをコピーしました