攻撃手段
Butterflyの攻撃部隊は、専用のマルウェアツール一式を取りそろえているが、企業システムに侵入する際には古くからの定番とも言える、OSX.PintsizedとBackdoor.Jiripbotをよく用いている。これら2つのコードは侵入の成功率を高めるために、同組織に属するプログラマーらによって攻撃対象に合わせたカスタマイズがなされている。
いったんバックドアからの侵入に成功すると、攻撃部隊は電子メールサーバを特定し、それを掌握する。Symantecの研究者らの推測によると「この段階までくると、おそらく攻撃部隊は電子メール上でのやり取りを傍受しているはずであり、偽の電子メールを紛れ込ませることも可能になっていたはずだ」という。
電子メールサーバ以外の一般的な標的として、コンテンツ管理サーバがある。Symantecの研究者らは、「このようなシステムは企業のさまざまなドキュメントをはじめとするデジタル資産のインデックスやコンテンツの格納に用いられている」点を指摘し、「こういったサーバにはソースコードこそ保持されていないものの、法的な書類や内部ポリシー、トレーニング資料、製品詳細、財務記録が保管されている」と記している。
興味を引く何らかのデータが見つかった場合、そのデータはインストールされたマルウェアによってButterflyのサーバに送信され、評価を経たうえで、売りに出される。SymantecのセキュリティレスポンスのディレクターであるKevin Haley氏はYahoo News Canadaに対して、「この組織は国家機関のような規律と組織的な能力を有しているが、徹頭徹尾、犯罪行為に注力している」と語っている。
彼らは何者なのか?
2013年、The New York Times(NYT)をはじめとする報道機関は、中国のハッカー集団を糾弾した。Symantecの研究者らはそれほどの確信を持てないとしたうえで、以下の3つの可能性を挙げている。
- 経済諜報活動を展開する政府機関
- 依頼を受けて動くハッカー集団
- 特定の取引先を持つ組織
同ホワイトペーパーの著者らは「これら3つの可能性のうち、地理的にも政治的にも異なる複数の国々に被害が広がっている点と、過去に諜報活動の標的になってきた組織が含まれていない点から、政府機関である可能性は最も低いだろう」と記している。
そして著者らは、「Butterflyの攻撃部隊は緊密に連携した個人で構成された組織であり、他のクライアントから依頼を受けて、あるいは株式市場を通じるなどして自らの金銭的利益を追求するために知的財産の窃盗を行おうとしている可能性の方が高い」と考えている。