米国国家安全保障局の姉妹部門で破壊的ハッキングやセキュリティー運用に特化している米国サイバー司令局は、北朝鮮のハッカーとつながりのあるマルウェアのサンプル群を新たに公開した。
同局は米国時間8月14日に、マルウェアとセキュリティー研究に広く用いられているデータベースであるVirusTotalにマルウェア群をアップロードしたと発表した。
サイバー司令局が同サーバーにマルウェアをアップロードしたのはこれが初めてではない。同局は自身のTwitterアカウントを開設し、アップロードしたマルウェアをフォロワーに知らせている。こうした情報公開は、各地のセキュリティーチームが国家支援による脅威と戦う手助けになるだけでなく、サイバー司令局が標的としている国民国家支援のハッキンググループの内側を垣間見る稀な機会を提供するものでもある。
アップロードされたサンプルは、米国政府がELECTRICFISHと名付けた。ELECTRICFISHは、システムにバックドアが作られた際に、データをインターネット経由であるシステムから別のシステムへと不法流出させるためのトンネルツールだ。ELECTRICFISHは、ハッキンググループのAPT38と繋がっている。
サイバーセキュリティー調査会社のFireEyeによると、APT38は北朝鮮政府が支援する他のハッキンググループ(例えば2016年のソニーへのハッキングや2017年のランサムウェア「WannaCry」の首謀者とされているLazarusなど)とは、明確に異なる目的を持っている。APT38は金融犯罪に特化しており、世界中の銀行から数百万ドルを盗み出している。
国土安全保障省のサイバーセキュリティー部門であるCISAによると、ELECTRICFISHが最初に発見されたのは今年の5月だがAPT38は数年前から活動している。
最近リークされた国連報告によると、北朝鮮政府は数十回のサイバー攻撃を通じて20億ドル以上を盗み出し、同国のさまざまな兵器計画に注ぎ込んでいる。APT38は、結成以来1億ドル以上の盗難資金を蓄積している。
関連記事:Researchers obtain a command server used by North Korean hacker group
[原文へ]
(翻訳:Nob Takahashi / facebook )