当社にて新しいホワイトペーパーを公開した。

 BlackEnergy & Quedagh: The convergence of crimeware and APT attacks(クライムウェアとAPT攻撃の集約)

The convergence of crimeware and APT attacks

 このホワイトペーパーの著者ブロデリック・アキリノは、BlackEnergyについて6月に初めて触れている。

  •  BlackEnergy、ルートキットみたいなもの
  •  欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 BlackEnergyは長い歴史を持つキットだが、今回の新しい分析は非常にタイミングが良い。実際に、ESET社のマルウェア研究者Robert Lipovsky氏およびAnton Cherepanov氏が、本日、Virus BulletinにBlackEnergyについての文書を発表する。

 ブロデリックの最新の分析と共通する点は、「BlackEnergy 3」と彼が名付けたバリアントに関する詳細を盛り込んでいることだ。Quedagh(訳注:ギャング集団の名前。前述のホワイトペーパーで取り上げられているBlackEnergyのバリアントの開発元として著者が名付けた)版のBlackEnergyの新機能の1つに、C&Cサーバへ接続する際にプロキシサーバをサポートすることが挙げられる。今回の場合、プロキシサーバ群はウクライナに設置されており、Quedagh一味がウクライナの政府組織を標的にしている有力な証拠がある。



 BlackEnergy 3の背後には誰がいるのか?以下にいくつかの説を挙げる。

 1) クレムリンが直接的な諜報人というもの。クライムウェア・キットを使用することで、もっともらしく否定できる
 2) 便利な操り人形(純粋に政治的に愛国的なハクティビスト)
 3) 現役のまたはかつてのサイバー犯罪者(別名privateer)。BlackEnergy 3は「市場」の関心を反映するように進化していっている
 4) 上記すべて
 5) もしかすると上はすべて間違いで、誰だか分からない

 Quedaghの組織的活動の背後にいるのが誰だろうと、「高度な絶えざる脅威」という目標を達成するために、一般に「商品化された脅威」として考えられている(少なくとも考えられていた)ものを使っている。これはトレンドになっているようだ。

 ところでなぜQuedaghなのか?

Quedagh Merchant

 Quedagh Merchant(クェダ・マーチャント号)とは、悪名高い17世紀の私掠船(privateer)のスコットランド人船長ウィリアム・キッドによって略奪された船の名前である。

 「Privateering was a way of mobilizing armed ships and sailors without having to spend treasury resources or commit naval officers.(私掠船とは、資金源を用意したり、海軍将校を委任したりすることなく、武装した船と船員を動員する方法である)」

 これをうまく説明できる、我々の仮説はこうだ。BlackEnergy 3のような「中級の絶えざる脅威」は市場原理によって推進され、サイバー犯罪者たちが自身の能力を諜報や商品化された情報戦争へと拡大している。