世界の銀行を狙う北朝鮮のハッキング集団、多額の不正送金に関与か 被害額は1億ドル以上:「APT38」と命名
FireEyeが「APT38」と命名した集団は、世界各国の銀行でネットワークに侵入し、多額の現金を不正送金しているという。
セキュリティ企業のFireEyeは10月3日、北朝鮮政権が関与する集団が、世界中の銀行から多額の現金を盗み出している実態が明らかになったとして、手口などについて詳しく解説した調査報告書を公表した。
北朝鮮政府を後ろ盾とするハッキング集団としてはこれまでに、「Lazarus」などの集団について実態調査が進められているが、今回の集団は動機や手口などが明らかに他の集団とは異なるとFireEyeは説明し、この集団を「APT38」と命名した。ただし、攻撃に使うマルウェアには重複する部分や共通する特徴があることから、同じ開発者の関与や同じコードレポジトリの利用をうかがわせるとしている。
FireEyeによると、APT38は2014年以来、少なくとも11カ国で16以上の組織を標的としてきた。巧妙な手口を使って被害者のネットワークに侵入し、平均で155日間潜伏。明るみに出た事件だけでも、11億ドルを金融機関から盗もうとしたことが分かっている。
同集団は標的とする組織について詳しく調べ上げた上で、Apache Struts2の古いバージョンの脆弱性を突くなどの手口で、システム上でコードを実行。国際銀行間金融通信協会(SWIFT)の取引に使われるサーバにマルウェアを仕込んで、他行の口座に現金を不正送金していた。
現金を盗んだ後は、捜査を妨害する狙いで、マルウェアを使い被害者のネットワークを機能不全に陥れるという。
「APT38は今も活動を続け、世界の金融機関にとって危険な存在であり続けている」とFireEyeは指摘し、被害額は少なく見積もっても1億ドルに上ると推定している。
北朝鮮関連では米国土安全保障省なども10月2日、「HIDDEN COBRA」と呼ばれる一連の攻撃に関連して、アジアやアフリカの銀行でATMから多額の現金が引き出される事件が相次いでいるとして、注意を呼び掛けていた。
関連記事
- 米司法省、北朝鮮のプログラマーを訴追 WannaCryやソニー攻撃に関与と断定
世界で猛威を振るったマルウェア「WannaCry」や、Sony Pictures Entertainmentの社外秘情報が流出した事件に関与したとして、北朝鮮国籍のプログラマーが訴追された。 - 北朝鮮のハッカー集団「APT37」、日本も標的に
APT37は主に韓国を標的として、日本やベトナム、中東にも活動範囲を広げ、未解決の脆弱性やマルウェアを駆使するなどの手口を高度化させているという。 - 米政府、「北朝鮮のマルウェア」2件の情報を新たに公開
北朝鮮が関与しているとされるリモートアクセスツールの「Joanap」とSMBワームの「Brambul」は、被害者のネットワークに潜伏してセンシティブな情報を盗み出す。 - 北朝鮮のマルウェア「Volgmer」、米当局がIPアドレスなど公表
US-CERTは、Volgmerが使っているIPアドレスなど感染の兆候となる情報や特徴を公開し、組織に対策を促している。 - 銀行で送金詐欺の被害相次ぐ、SWIFTが対策の徹底を呼び掛け
今回新たに発覚した事件では、PDF閲覧アプリケーションを狙うマルウェアが使われた。銀行を狙った高度な攻撃が横行しているとの見方が強まっている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.