Symantec社が、Sowbugという諜報集団に関する注意を促している。

この記事では、Sowbugについて報告されている事をまとめておく。

Sowbugのターゲット

Sowbugのターゲットは、ASEAN諸国と、南アメリカの外交機関である。

主な国名は、アルゼンチン、ブラジル、エクアドル、ペルー、ブルネイ、マレーシアであると言われている。

それらの国々の外務省など、外交関係を担う政府機関に対して諜報活動を行っている。

Sowbugについて

Sowbugは集団としての能力が非常に高く、複数のターゲットへの同時攻撃が可能であるという。

尚且つ、Sowbugはセキュリティ対処能力が低くなりがちな、勤務時間外を狙って攻撃を仕掛けるようだ。

Sowbugが使うマルウェアは、RAT(Remote Access Trojan)のようだ。

また、主なターゲットが政府機関である事と、組織としての能力が高いことから、Sowbugはどこかの国のサイバー組織か、どこかの国がスポンサーしているサイバー組織である可能性が高いと言える。

Sowbug”初確認”は2015年5月

Sowbugによる攻撃が確認されたのは、実は2015年五月と言われている。

その時にターゲットとなっていたのは、南アメリカに位置する”とある国”の外務省の、環太平洋地域の国に対する外交政策部門だったようだ。

Sowbugのクラッカー達は、ターゲットのサーバーに侵入し、保存されているワードファイルを、RAR形式で圧縮し、攻撃から過去4日分に作成されたデータ全てを盗み出した。

そこから、ターゲットが管理する共有ディレクトリにアクセスし、その国と関係が強い国際組織のリスト等を取得したと言われている。

更に攻撃者は、2つのペイロードをターゲットのサーバー上に落とし、同年9月までの4ヶ月間、バックドアとして仕込ませていたようだ。

この時に仕込むのは、Windows系のサービスや、Adobe PDF Reader等のソフトウェアを装ったマルウェアだと言われている。

2016年9月に新たな被害を確認

2016年9月、Sowbugによる新たな諜報活動の痕跡が確認された。

Sowbugは、”Felismus”という名のバックドアを東南アジア政府機関のコンピュータに仕込んだ。

そしてSowbugは、Program Files\Adobe\commonというディレクトリを作成し、adobecms.exeという実行ファイルをダウンロードした。

この段階は、ハッキングにおける情報収集、いわゆるReconaissanceフェーズだったと専門家は指摘する。

なぜならその後に、更なる情報収集の痕跡が、同機関の別のコンピュータから発見されたからだ。

結局Sowbugが仕込んだFelismusバックドアは、2017年3月まで潜伏していたとSymantec社は報告する。

Sowbugによる諜報活動は、今後も続いていくと思われる。