PLATINUM (ハッカー集団)
PLATINUM(プラチナム)は、マイクロソフトが呼称する、南アジア、東南アジアの政府とその関連組織に対して活動するサイバー犯罪グループの名称である[1]。グループは秘密主義であり、そのメンバーについてはあまり知られていない[2]。このグループの技術力は、その攻撃は何年もの間検知されない状態である[1]。
このグループは高度で持続的な脅威と見なされ、少なくとも2009年から活動し[3]、政府関係者の個人メールアドレスに対するスピアフィッシング攻撃、ゼロデイ攻撃エクスプロイト、ホットパッチの脆弱性を突いて標的を攻撃する[4][5]。グループは被害者のコンピュータにアクセスすると、経済的に機密性の高い情報を盗む[1]。
PLATINUMは、Microsoft Windowsのホットパッチシステムの悪用が2016年4月に検出され公表されるまで、隠匿することに成功した[2]。このホットパッチ方式により、攻撃者はマイクロソフト独自の機能を使用して、システム全体を再起動せずに、迅速にパッチを適用したり、ファイルの変更やアプリケーションの更新ができ、こうして身元を隠しながら盗んだデータを保持することができた[2]。
2017年6月、PLATINUMはインテルのアクティブ・マネジメント・テクノロジーのシリアルオーバーLAN(SOL)機能を悪用してデータの窃取を実行したことで注目された[6][7][8][9][10][11][12][13]。
プラチナムの技術
[編集]PLATINUMはプラグインを悪用することが知られ、2009年にはメールサービスを提供するウェブサイトを介して、数名のインド政府関係者のコンピューターに侵入したこともあった[1]。[要説明]
ターゲットのコンピュータを制御できるようになると、PLATINUMは、特別に構築したマルウェアモジュールで、ターゲットのネットワークを移動する。これらモジュールは、グループ傘下で活動する複数のチームのいずれかによって作成されたか、または2009年以来取引している多数の外部ソースを通じて販売されている可能性がある[1]。
このマルウェアは多様であり、バージョン間での共通コードがほぼ無いため、マイクロソフトの調査員はマルウェアをファミリーに分類した[1]。
PLATINUMで最も広く使用されたマルウェアは、マイクロソフトによってDispindという呼ばれた[1]。このマルウェアは、キーストロークを記録する(場合によって挿入もできる)ソフトウェア、キーロガーをインストールする可能性がある。[要出典]
PLATINUMは、コンピュータの%appdata%フォルダにインストールされ、情報を盗取、キーロガーをロード、ファイルやアップデートをダウンロードなど、機密情報がある可能性のファイルを抽出するタスクを実行したりする「JPIN」などの他のマルウェアも使用する[1]。
「Adbupd」は、PLATINUMが利用する別のマルウェアで、前述の2つに類する。プラグインをサポートすることが知られており、特殊化が可能で、さまざまな保護メカニズムに適応できるほどの汎用性がある[1]。
インテルエクスプロイト
[編集]2017年、マイクロソフトは告知で、プラチナムがインテルのCPUの機能を悪用を始めたとした[14]。 問題である機能は、インテルのAMT Serial-over-LAN(SOL)であり、ユーザーは、ホストオペレーティングシステム内のファイアウォールや監視ツールを含む、ターゲットのホストオペレーティングシステムを通して、別のコンピューターをリモート制御できるようになる[14]。
セキュリティ
[編集]マイクロソフトは脆弱性を最小限にし、大規模ネットワークから機密性の高いデータを遠ざけるため、すべてのセキュリティ更新プログラムを適用することをユーザーに推奨している[1]。PLATINUMは企業秘密の盗取目的で、どのような組織、企業、政府機関でも標的にするため、誰でもこのグループの標的になる可能性がある[15]。
脚注
[編集]- ^ a b c d e f g h i j “PLATINUM Targeted attacks in South and Southeast Asia (PDF)”. Windows Defender Advanced Threat Hunting Team (Microsoft) (2016年). 2017年6月10日閲覧。
- ^ a b c Osborne, Charlie. “Platinum hacking group abuses Windows patching system in active campaigns” (英語). ZDNet 2017年6月9日閲覧。
- ^ Eduard Kovacs (2017年6月8日). “"Platinum" Cyberspies Abuse Intel AMT to Evade Detection”. SecurityWeek.Com. 2017年6月10日閲覧。
- ^ Eduard Kovacs (2016年4月27日). “"Platinum" Cyberspies Abuse Hotpatching in Asia Attacks”. SecurityWeek.Com. 2017年6月10日閲覧。
- ^ msft-mmpc (2016年4月26日). “Digging deep for PLATINUM – Windows Security”. Blogs.technet.microsoft.com. 2017年6月10日閲覧。
- ^ Peter Bright (2017年6月9日). “Sneaky hackers use Intel management tools to bypass Windows firewall”. Ars Technica. 2017年6月10日閲覧。
- ^ Tung, Liam (2014年7月22日). “Windows firewall dodged by 'hot-patching' spies using Intel AMT, says Microsoft”. ZDNet. 2017年6月10日閲覧。
- ^ msft-mmpc (2017年6月7日). “PLATINUM continues to evolve, find ways to maintain invisibility – Windows Security”. Blogs.technet.microsoft.com. 2017年6月10日閲覧。
- ^ Catalin Cimpanu (2017年6月8日). “Malware Uses Obscure Intel CPU Feature to Steal Data and Avoid Firewalls”. Bleepingcomputer.com. 2017年6月10日閲覧。
- ^ Juha Saarinen (2017年6月8日). “Hackers abuse low-level management feature for invisible backdoor - Security”. iTnews. 2017年6月10日閲覧。
- ^ Richard Chirgwin (2017年6月8日). “Vxers exploit Intel's Active Management for malware-over-LAN. Platinum attack spotted in Asia, needs admin credentials”. The Register. 2017年6月10日閲覧。
- ^ Christof Windeck (2017年6月9日). “Intel-Fernwartung AMT bei Angriffen auf PCs genutzt | heise Security”. Heise.de. 2017年6月10日閲覧。
- ^ “PLATINUM activity group file-transfer method using Intel AMT SOL | Windows Security Blog | Channel 9”. Channel9.msdn.com (2017年6月7日). 2017年6月10日閲覧。
- ^ a b "Platinum hacker group uses Intel AMT", Tad Group, 2017-09-25
- ^ Liu, Jianhong (2017-07-15). Comparative Criminology in Asia. Springer. ISBN 9783319549422