出典: nelo2309 via Shutterstock
BlackTechサイバースパイグループが2022 FIFAワールドカップのための通信サービスを提供する企業にマルウェアを仕込んだとき、その中国関連の脅威グループはほとんど知られていませんでした。すぐに、CrowdStrikeによるCircuit Panda、SymantecによるPalmerworm、Trend MicroによるShrouded Crossbowなど、多くの名前が付けられました。
1つのグループに対する混乱した名前の数々が、CrowdStrikeとMicrosoftが命名規則の調和、または「デコンフリクト」を始めると発表した背景にあります。6月2日、両社は80以上の脅威グループの同等の名前リストを公開しました。このリストには、MicrosoftによるBlackTechの名前、Canary Typhoonも含まれています。
サイバースペースでの特定の行動の背後にいる敵を明確にすることで、この情報共有の取り組みは、セキュリティチームと脅威アナリストが将来の活動を予測し、対応を優先できるようにすることを目的としていると、CrowdStrikeの対敵作戦担当シニアバイスプレジデントであるAdam Meyers氏は述べています。
「[命名]を複雑にする要因が一連あり、すべての企業で敵の命名と追跡を統一する方法は本当にありません」と彼は言います。「しかし、これによって少なくとも、Microsoftが何かを公開し、CrowdStrikeもそれに関する情報を持っている場合、私たちの共同顧客がすぐに私たちが何について話しているかを知ることができるようになります。」
関連:バックドア付きマルウェアが新米サイバー犯罪者を引き寄せる
しかし、この取り組みがどれだけの影響を与えられるかはまだ不明です。この努力は、悪意のあるエンティティの命名における混乱を制御しようとする最新の試みに過ぎないからです。脅威インテリジェンス企業のSecureworks(現在はSophosの一部)は、同社が追跡している160以上のグループの「ロゼッタストーン」を維持しています。他社が使用する対応する名前も含まれています。
SophosのCounter Threat Unitの脅威インテリジェンスディレクターであるRafe Pilling氏は、同社のリストがMicrosoftとCrowdStrikeによって作成されたものよりも進んでいると主張しています。
「私たちは、他のベンダーの名前と自社の名前を一致させようとする公開のロゼッタストーンを維持しており、各グループの短いプロフィールを含めています」と彼は言います。「私たちはこれを『ロゼッタストーン』と呼んでいますが、『ザ・ロゼッタストーン』ではありません。なぜなら、同等性を保証するために必要なすべての情報を持っていないことを知っており、それが変わる可能性は低いからです。」
名前に何があるのか?
脅威アクターの名前は、脅威研究者やセキュリティチームが脅威を指すための略語です。多くの場合、名前はアクターの動機を示し、国家のモニカー(MicrosoftのSleetやCrowdStrikeのCholimaクラスタのように、グループの国家的なリンク(北朝鮮)を示す)やサイバー犯罪のモニカー(MicrosoftのTempestやCrowdStrikeのSpiderのように)でラベル付けされます。
関連:イランのAPT「BladedFeline」が8年間ネットワークに潜伏
名前はまた、研究者がグループによって使用されるすべての戦術、技術、手順(TTP)を収集するためのバケットとしても機能します。企業は、侵害の指標を使用してTTPを特定し、そこから可能性のある脅威グループを特定できます。積極的なセキュリティチームは、脅威グループの既知のTTPを使用して、環境内のさらなる侵害を探したり、データの消去や資格情報の盗難などの特定の他の行動に備えたりしますと、Pilling氏は言います。
脅威インテリジェンスチームにとって、グループを特定し名前を付けることは遅いプロセスですと彼は言います。
「同じクラスタやグループ、バケットに属するように見えるものが増えるにつれて、グループやキャンペーンの理解が深まります」とPilling氏は言います。「このプロセスが進行するにつれて、グループのターゲティング、目的に対する行動、その他の詳細についての理解が深まり、グループを国家やサイバー犯罪グループに結びつける帰属評価につながることがあります。」
問題が発生することがあります。デコンフリクトプロセス中に、CrowdStrikeが追跡するGossamer Bearを、Microsoftが2つの異なるグループとして追跡していることが判明したため、その脅威クラスタをリストから外しましたと、CrowdStrikeのMeyers氏は言います。
「これが本当に理由で、すべての企業が1つの命名システムを使用できないと思います」と彼は言います。「NISTやMITREが敵の名前の標準化を考案することはできません…なぜなら、私たちは皆、異なる可視性を持ち、異なるテレメトリを持ち、異なる企業が異なる分析の厳密さを持っているからです。」
Microsoftもまた、この取り組みが既存の脅威アクターや命名規則の分類法を置き換えることを意図していないと強調し、同社は自社のアプローチを変更するつもりはないと、MicrosoftのスポークスパーソンはDark Readingに語りました。
「業界に単一の標準を課すことは技術的に困難であり、インテリジェンスに影響を与える可能性があります」とスポークスパーソンはDark Readingからの質問に対するメールでの回答で述べました。「マッピングは、顧客のためにその使用を簡素化しながら、人気のある分類法を維持することを可能にします。」
競争よりもデコンフリクト
脅威名の標準化に向けた他の取り組みは、過去にはうまくいきませんでした。2005年、共通脆弱性評価(CVE)プログラムの成功に続いて、米国コンピュータ緊急対応チーム(US-CERT)とMITREは、共通マルウェア評価(CME)イニシアチブを設立しました。これは、今日の脅威グループの命名問題に似たウイルスやワームの世界の問題を解決するためのものでした。例えば、2004年11月に広まったBagleワームはCME-245となりました。
この取り組みは長続きしませんでした。2007年、プログラムは最後の番号であると思われるものを発行しました — CME-711、Smallダウンローダーの別名 — その後、プロジェクトは異なる焦点を持つマルウェア属性評価と特性化(MAEC、発音は「マイク」)言語に移行しました。今日、そのプロジェクトもまた廃止されているようです。MITREはコメントの要請に応じませんでした。
名前を一致させることは難しいです。特に新しいグループや既知のグループの派生が進化している分析中では、Pilling氏は言います。脅威グループは有機的に発見され、企業が独自の命名スキームとインテリジェンスプロセスを持っているため、異なる結論に至ると彼は言います。
「十分な重複するデータポイントと定義が共有された後、ある程度の整合性が達成されることができます — 時には公開され、時には非公開で」とPilling氏は言います。「MicrosoftとCrowdStrikeは[現在]この作業を遡及的に行っています — 新たな脅威や将来のグループの整合性を維持するためにどのように機能するかは不明です。」
グループがあまりにも広がる可能性は低いです。脅威インテリジェンスの大手プロバイダー — 例えばGoogleのMandiant — は、MicrosoftやCrowdStrikeと協力して調和を図るかもしれませんが、広範な競合他社とインテリジェンスを共有することは、特に多くのデータを共有する可能性がない場合には、計画にはありませんと、CrowdStrikeのMeyers氏は言います。
現在、両社は限られた数の参加者間での共有を持続可能にするためのガバナンス構造に取り組んでいますと彼は言います。
「競争能力を損なうことなく、敵の活動能力を損なうことができる何かを共同で行うことができれば、それを行います」とMeyers氏は言います。「これは継続的なプロセスであり、継続的な進化です。私はMicrosoftと直接協力し続けており、デコンフリクトを続けることができるようにしています。」
翻訳元: https://www.darkreading.com/threat-intelligence/microsoft-crowdstrike-rosetta-stone-apt