中国のハッカーがNSA関与とみられる「イクエーショングループ」の攻撃ツールをクローン化か

　中国のサイバー攻撃グループが特権昇格バグにパッチが適用される何年も前に、米国家安全保障局（NSA）が関与するとみられるEquation Groupから盗んだ「Windows」ゼロデイ攻撃ツールを「クローン化」し、利用していたと調査グループが発表した。

　Check Point Research（CPR）は米国時間2月22日、この攻撃ツールはEquation Groupが開発したソフトウェアの「クローン」だと明らかにした。Equation Groupは、2015年にセキュリティ大手Kasperskyによってその存在が明らかにされ、「世界最高レベルのサイバー攻撃グループ」と評されたNSAの一組織だとみられている。

　Equation Groupは少なくとも2001年から活動していると考えられており、NSAの情報収集機関であるTailored Access Operations（TAO）とのつながりもささやかれている。

　2017年に、ハッキンググループのThe Shadow Brokersが、Equation Groupのものとする攻撃ツールとファイルを公開した。その中には、Microsoft Windowsなどの広く利用されているシステムに含まれる未知のバグを悪用するものが含まれていたため、ベンダー各社は攻撃を無効化するために緊急パッチやフィックスの配布に追われた。

　同年、MicrosoftはCVE-2017-0005向けのパッチをリリースした。CVE-2017-0005はWindows XPからWindows 8までのシステムに含まれるゼロデイ攻撃脆弱性であり、特権昇格やシステム全体の乗っ取りに悪用される可能性があった。

　CVE-2017-0005の悪用ツールである「Jian」は、当初は中国のAPT攻撃グループ「APT31」（別名「Zirconium」）が開発したものだと考えられていた。

　しかし、CPRによる今回の発表によれば、このツールは実際にはEquation Groupが使用していたソフトウェアのクローンであり、この脆弱性に対するパッチが提供される何年も前の2014～2017年に活発に利用されていることから、APT31が独自に開発したものではないという。

　CPRの調査によれば、Jianは2017年にShadow Brokersがリークした「Lost in Translation」にも含まれていた「EpMe」のクローンであり、米国民を攻撃するために「用途変更」されたという。

　「APT31の『Jian』とEquation Groupの『EpMe』はどちらも、攻撃者がローカルのWindows環境で特権昇格を行うためのものだ」と、CPRは言う。「このツールは、ゼロクリック脆弱性やフィッシングメールを使って標的コンピューターに入り込んだ後、可能な限り最も高い権限を手に入れるために使用される。攻撃者はシステム内を自由に動き回り、感染したコンピューター上で目的を果たす」

　CPRによれば、CVE-2017-0005はLockheed MartinによってMicrosoftに報告され、これはLockheed Martinにとっては「どちらかと言えば異例」の対応だったという。

　「われわれの知る限り、これは過去数年間で（Lockheed Martinが）報告した唯一の脆弱性だ」とCPRは言う。「Lockheed Martinのクライアントか、あるいはLockheed Martin自身が攻撃の標的だった可能性がある」

　APT31はEquation Groupの攻撃モジュール（32ビット版と64ビット版の両方）へのアクセスを獲得したと考えられている。CPRはまだ中国のAPT攻撃グループがこのツールを入手した方法を特定していないが、Equation Groupが中国に攻撃を仕掛けていた際に入手した可能性が考えられる。あるいは、Equation Groupがネットワーク上で活動しているときにAPT31が盗み出したか、APT31がEquation Groupのシステムに直接攻撃をかけて入手した可能性もある。

　Jianに関する調査では、4つの特権昇格悪用ツールを含むモジュールが発見され、いずれもEquation Groupの攻撃後型（post-exploitation）フレームワークである「DanderSpritz」の一部だった。

　4つのうち2つはゼロデイ脆弱性を悪用するもので、2013年にさかのぼる。1つは「EpMe」だったが、もう1つは「EpMo」と呼ばれるもので、Shadow Brokersによるリークを受けた対応の一環として、2017年5月にMicrosoftがひそかにパッチをあてていた（CVEはアサインされていない）。残りの2つのコード名は「EIEi」と「ErNi」だ。

　中国のAPT攻撃グループがEquation Groupのツールを盗み、別の用途に利用した例は他にもある。2019年にSymantecが発表した事例では、攻撃グループのAPT3「Buckeye」が、Shadow Brokersのリークよりも前の2016年に行われた、Equation Groupのツールを利用した攻撃とひも付けられていた。

　Buckeyeは2017年半ばに解散したと見られているが、そのツールは2018年まで利用されていた。これらのツールが別の攻撃グループに受け継がれたのか、そうだとすれば、どのグループかは分かっていない。

　Lockheed Martinの広報担当者から米ZDNet宛てに次のコメントがあった。

「当社のサイバーセキュリティチームは、脆弱性を発見するためにサードパーティーのソフトウェアやテクノロジーを定期的に評価しており、発見した事項は責任をもって開発元および関連機関に報告している。当社はIntelligence Driven Defenseアプローチを使用することにより、過去6年間に100を超えるゼロデイ脆弱性を複数のベンダーに責任をもって報告している」