出典:Alamy Stock Photo(ArcadeImages)
3年以上ぶりに、研究者たちはイラン最古の国家レベル脅威グループに関する新たな情報を得た。
「Prince of Persia(プリンス・オブ・ペルシャ)」――「Infy」とも呼ばれる――は、既知のイランの高度持続的脅威(APT)の中で最古であるだけではない。TurlaやAPT1のようなグループと並び、現存するAPTの中でも最古級の一つだ。10年前、サイバーセキュリティ文献で初めて記述された際、研究者はその活動が2004年12月まで遡る証拠を見つけている。
では、なぜその名前を覚えていないのか。以後10年の間に、より派手な同業者である OilRig や MuddyWater が猛威を振るう一方で、Prince of Persiaは目立って沈黙してきた。2018年の時点でDark Readingはすでにこれを「表舞台から消えた」と表現しており、最後の大きな報道は2021年に行われ、研究者たちは2022年以降、このグループから一切の動きを聞いていない。
当時は活動停止のように見えたかもしれないが、実際にはPrince of Persiaはどこにも行っていなかった。新たなレポートでSafeBreachは、このグループが今も存在するだけでなく、ずっと活動していたことを明らかにした。長年知られてきたマルウェア・ファミリーの改良版を用い、主にイラン国民を監視しており、さらにイラク、トルコ、インド、欧州、カナダの個人も標的にしているという。
「約20年にわたり完全に稼働するサイバー攻撃インフラが動き続けているのは非常に特異です。おそらく、同じ武器庫を用いて活動してきた脅威アクターとしては、公に知られている中で最長でしょう」と、レポート著者のTomer Barは語る。「この脅威アクターがそれを達成できたのは、非常に強固な持続性と、高度なオペレーショナル・セキュリティ技術、そして私が20年以上の経験の中で見たことのない、[コマンド&コントロール(C2)]サーバーとの通信における暗号学的概念を用いているためです」
Prince of PersiaのステルスC2
Prince of Persiaは常に、2つの主要なカスタムツールを使ってきた。「Foudre」と「Tonnerre」で、それぞれフランス語で「稲妻」「雷鳴」を意味する。
Foudreは軽量な第1段階ツールで、基本的なシステム情報を攻撃者のC2インフラへ送信する。新バージョンはMicrosoft Excelファイル内の実行ファイルとして配布され、VirusTotal(VT)上のどのアンチウイルスエンジンにもまったく検知されない。Foudreの目的はトリアージ(選別)に見える。つまり、被害者をさらに深く追う価値があるかどうかを見極めることだ。例えば2022年8月、研究者は、Foudreで感染させた後にPrince of Persiaが一部の被害者を追加のスパイ活動のために振り分け、他のケースではFoudreに自己破壊を命じるコマンドを送っていたことを確認した。対照的にTonnerreは、より踏み込んだ諜報に用いられる重いプログラムである。
FoudreとTonnerreが特筆すべき点があるとすれば、それはC2チャネルをいかに丹念に保護しているかだ。
例えば新しいTonnerreは、Telegramのアプリケーション・プログラミング・インターフェース(API)も利用し、プライベートなTelegramグループからコマンドを送信したり、被害者のデータを取得したりできる。単にプライベートメッセージングアプリをC2に使うこと自体はそれほど珍しくない――多くの脅威アクターが、バックドアのコードにTelegram APIキーを埋め込む形で行っている。Prince of Persiaが際立つのは、Tonnerre内部にいかなるキーも埋め込まない点であり、研究者が見つけて逆用できる「痕跡」を残さない。代わりにBarは、「特定の被害者に対してのみ[Tonnerre]のC2からキーを取得するため、はるかにステルス性が高い。マルウェア活動とTelegramグループを隠すため、すべての被害者に対して[利用]しているわけではない」と突き止めた。
さらに印象的なのは、FoudreがRSA署名検証を用いてC2インフラを保護している点だ。Barは「マルウェアのコードには公開鍵が含まれており、ドメイン生成アルゴリズム(DGA)を使って毎週100個のC2サーバーのドメイン名を生成します。マルウェアは最初のドメインに接続して署名ファイルをダウンロードしますが、これは脅威アクターが秘密鍵で暗号化したものです。RSA検証により、公開鍵で署名ファイルを復号できることを確認します。検証に失敗した場合、マルウェアはそのC2を信頼せず、リストの2番目へ進みます」と説明している。
退屈に聞こえるかもしれないが、驚くほど実用的だ。例えば、サイバーセキュリティ研究者が何らかの方法でFoudreのDGAの仕組みを解明したとしよう――Bar自身も、疑似ランダムなパターンの一部を見抜くことでそれを達成している。たとえBarのような研究者がマルウェアが通信するドメインを把握していたとしても、それらのドメインを事前に乗っ取ろうとしても「役に立ちません。マルウェアはこのC2サーバーを信頼しないため、テイクダウンも被害者分析もできないからです。これは秘密鍵を持っている場合にのみ可能で、その鍵はイラン国内にのみ保管されています。こうして、誰もキャンペーンに影響を与えられないのです」。さらに彼は、持ち出されたファイルも正しいRSA秘密鍵を要求するため、自分が抱えているデータの山を分析できない、と付け加える。
Barは、FoudreがRSA検証を用いるこの独特の方法について「これは[悪意のない]領域では一般的なものですが、マルウェアで使われているのは見たことがありません――西側の国家アクターに帰属されたキャンペーンでさえです。ほかの経験豊富な研究者にも尋ねましたが、彼らも見たことがないと言っていました」と驚嘆する。
イラン政府の支援
DGAであれTelegramであれ暗号学的なC2検証であれ、Prince of Persiaが従来型で潜在的に脆弱なコマンド&コントロールを超えて拡張しようとしてきた取り組みは、その奇妙な歴史の文脈で読むのが最も適切だ。
Palo Alto NetworksのUnit 42が、2016年にPrince of Persiaの存在を最初に注目させた。その直後、インフラに関する詳細な知見をもとに、このサイバーセキュリティ企業はサーバーをシンクホール化することで追い打ちをかけた。これにより脅威アクターは被害者を制御できなくなり、研究者はその内部動作に前例のないアクセスを得た。
結局のところ、この脅威アクターは、驚くべき、そして大部分において前例のない「デウス・エクス・マキナ」によって救済された。国営のイラン電気通信会社(Telecommunication Company of Iran)が支援に入り、Unit 42のシンクホールへのトラフィックを遮断し、攻撃者の利益のためにトラフィックを再びリダイレクトしたのだ。
「脅威アクターは2016年のキャンペーンのテイクダウンから教訓をしっかり学びました」とBarは言う。「そして2017年に、非常に安全なアーキテクチャを携えて戻ってきました。それはそれ以来、一度もテイクダウンされることなく機能し続けています」
翻訳元: https://www.darkreading.com/threat-intelligence/iran-apt-spying-dissidents
