10年以上前、ウイルス対策企業カスペルスキーの研究者たちは、類似した標的設定とフィッシング手法に基づき、政府支援を受けているとされる既知のグループによる不審なインターネットトラフィックを特定しました。その後まもなく、研究者たちは、キューバ政府などを標的とした、はるかに高度なハッキング活動を発見したことに気づきました。
最終的に研究者らは、ネットワーク活動が、当時は全く知られていない謎のスペイン語圏のハッキンググループによるものであることを突き止めた。彼らはこのハッキンググループを、マルウェアのコード内に埋め込まれていたスペイン語の俗語(「醜い顔」または英語の「仮面」)にちなんで「Careto」と名付けた。
Caretoが特定の政府と公に結び付けられたことは一度もなかった。しかし、TechCrunchは、このグループを最初に発見した研究者たちが、Caretoのスパイ活動の背後にはスペイン政府のハッカーがいると確信していたことを突き止めた。
カスペルスキーが2014年に初めてCaretoの存在を明らかにした際、同社の研究者たちはこのグループを「現時点で最も高度な脅威の一つ」と評しました。Caretoのステルス型マルウェアは、侵入したコンピューターからプライベートな会話やキー入力などの機密性の高いデータを盗み出す能力を持ち、今日の強力な政府系スパイウェアによく似ています。Caretoのマルウェアは、世界中の政府機関や民間企業へのハッキングに使用されていました。
カスペルスキーは、Caretoの背後に誰がいるのかを公に非難することを避けた。しかし、当時カスペルスキーで勤務し、捜査内容を知る複数の関係者によると、社内では、同社の研究者らがCaretoはスペイン政府のために活動するハッキングチームであると結論付けていたという。
「そのことには何の疑いもなかった。少なくとも合理的な疑いはなかった」と元従業員の1人がTechCrunchに語った。この元従業員は、本記事の他の情報源と同様に、デリケートな問題について話すため匿名を条件に話してくれた。
Caretoは、これまで公の場で議論された数少ない西側諸国政府のハッキンググループの一つです。他には、米国国家安全保障局(NSA)と広く信じられているEquation Group、CIAとされるLamberts、そしてBabarとDinoマルウェアの背後にいたAnimal Farmとして知られるフランス政府のグループなどが挙げられます。フランス情報機関DGSEの元長官、ベルナール・バルビエ氏は、異例の発言として、Babarの背後にフランス政府がいたことを公式に認めました。
スペイン政府も、西側諸国の政府系ハッカー集団のこの小さなグループに加わった。
カスペルスキー社の元社員2人によると、同社は捜査の初期段階で、カレト・ハッカーがキューバの特定の政府ネットワークとシステムを標的にしていたことを発見したという。
TechCrunchの取材に応じた人々によると、カスペルスキー社がカレト氏を調査するきっかけとなったのは、このキューバ政府の被害者だったという。
「すべてはキューバ政府に勤めていた男が感染したことから始まりました」と、カレト事件の捜査を知る3人目の元カスペルスキー社員はTechCrunchに語った。キューバ政府の被害者を「最初の患者」と呼んだこの人物は、カレト事件のハッカーたちがキューバに興味を持っていたのは、当時キューバにバスク地方のテロ組織ETAのメンバーがいたためだと述べた。
カスペルスキーの研究者らは、発見後に公開した技術レポートの中で、カレトの活動に関する調査時点で、国別被害者数が圧倒的に多かったのはキューバで、具体的には名前が明かされていないキューバ政府機関が1つあったと指摘し、これは「攻撃者の現在の関心」を示していると述べている。
元カスペルスキー社員によれば、このキューバ政府の被害者はカレト氏とスペインを結びつける鍵となるだろうという。
「内部的には誰がやったか分かっていました」と、3人目の元カスペルスキー社員は述べ、スペイン政府であると「高い確信」を持っていたと付け加えた。捜査について知る他の2人の元カスペルスキー社員も、研究者らは同様に攻撃の背後にスペインがいると結論付けたと述べた。
しかし、同社はそれを公表しないことに決めた。「公表されなかったのは、政府をあのような形で暴露したくなかったからだと思います」と、カスペルスキーの元研究者4人目は語った。「カスペルスキーでは厳格な『出典を明かさない』方針がありました。時にはその方針が逸脱することもありましたが、決して破られたことはありませんでした。」
キューバ以外にも、カレトによる標的はスペインに向けられていた。このスパイ活動は、ブラジル、モロッコ、スペイン本国、そしておそらく象徴的なのは、スペインが長年自国の領土であると主張してきたイベリア半島のイギリス領ジブラルタルで、数百人が被害を受けたことである。
カスペルスキー社は、同社の研究者らの結論に関する質問への回答を拒否した。
「当社は正式な帰属先特定には関与しておりません」とカスペルスキーの広報担当マイ・アル・アッカド氏はTechCrunchへのメールで述べた。
スペイン国防省はコメントを控えた。キューバ政府は外務省に送った電子メールに返答しなかった。
カレトの発見
カスペルスキー社が2014年にこのグループのマルウェアを発見し、その結果、このマルウェアに感染した他のコンピューターを識別する方法を得た後、研究者らは世界中でCareto感染の証拠を発見し、複数の大陸にまたがる31カ国の被害者が感染していたことを明らかにした。
アフリカでは、このグループのマルウェアはアルジェリア、モロッコ、リビアで発見されました。ヨーロッパでは、フランス、スペイン、イギリスの被害者が標的となりました。ラテンアメリカでは、ブラジル、コロンビア、キューバ、ベネズエラで被害者が見つかりました。
カスペルスキーは技術報告書の中で、標的となった被害者が最も多かったのはキューバで、「全員が同じ機関に属していた」と述べ、研究者らは当時、これがハッカーにとって重要な点であると認識していた。
スペインはそれ以前からキューバに特別な関心を抱いていた。2013年末、亡命キューバ政府関係者がスペインの日刊紙エル・パイスに語ったところによると、テロ組織ETAのメンバー約15人がキューバ政府の承認を得てキューバに居住していたという。2014年には、漏洩した米国外交電報で、キューバが長年にわたりETAのテロリストに庇護を与えていたことが明るみに出た。2010年初頭には、スペインの裁判官がキューバ在住のETAメンバーの逮捕を命じた。
スペインのオンラインニュースメディア「エル・ディアリオ」は、カレト発見のニュースを報じる際、ブラジルやジブラルタルといった国をターゲットにすることはスペイン政府の「地政学的利益」にかなうと指摘した。スペイン政府は、ブラジルのリオデジャネイロからサンパウロまでの高速鉄道建設の入札において、国営企業と民間企業によるコンソーシアムの勝利を目指していた。
カスペルスキー社によると、Caretoグループは政府機関、大使館、外交機関を標的にしているほか、エネルギー企業、研究機関、活動家も標的にしているという。
カスペルスキーの研究者は、Caretoマルウェアが2007年まで遡って存在していた証拠を発見したと発表し、その後のバージョンのCaretoはWindows PC、Mac、Linuxコンピューターを攻撃する能力があることを発見したとしている。また、AndroidデバイスやiPhoneを標的とする可能性のあるコードの証拠も発見したと述べている。
カスペルスキー社は内部の帰属先を公表しなかったが、同社の研究者らはスペインを示唆する明確なヒントを残した。
まず、同社の研究者たちは、マルウェアコードの中に特に興味深い文字列「Caguen1aMar」を発見したと指摘しました。この文字列は、スペイン語でよく使われる罵り言葉「me cago en la mar」の短縮形です。文字通り「海でうんちをした」という意味ですが、大まかに訳すと「f—k」となり、これはスペインでよく使われるフレーズで、他のスペイン語圏の国では使われていません。
カスペルスキーは2014年にCaretoを発見したと発表した際、このハッカー集団が標的としたすべての国を示す地図を公開した。地図には、雄牛の角と鼻輪が付いた仮面(雄牛はスペインの国章)、カスタネットまたはクラッカー(スペインの民族音楽で使用される楽器)、そしてスペイン国旗の赤と黄色のイラストが添えられていた。
地図の詳細から、カレト氏にとってキューバがいかに重要だったかが明らかになった。カスペルスキーは特定の国について、識別可能な標的の種類を示すアイコンを追加していた。地図によると、キューバにはハッキング被害が1件あり、政府機関としてマークされていた。政府機関が被害を受けた他の地域は、ジブラルタル、モロッコ(キューバに近接し、領土紛争を抱えているため、スペインにとって戦略的なスパイ活動の標的となっている)、そしてスイスのみだった。
カスペルスキーは2014年、Caretoグループのマルウェアは、被害者のコンピュータから極めて機密性の高いデータを取得する能力を備えており、当時「最も高度な脅威」の一つであると述べました。カスペルスキーによると、このマルウェアはインターネットトラフィック、Skypeの会話、暗号化(PGP)キー、VPN設定を傍受し、スクリーンショットを撮影し、「ノキア製デバイスからあらゆる情報を取得する」ことも可能でした。
Caretoグループは主にスピアフィッシングメールを悪用しており、そこにはEl País、El Mundo、Públicoといったスペインの新聞を装った悪意のあるリンクや、政治問題や料理のレシピに関する動画が含まれていました。元Kaspersky従業員の1人がTechCrunchに語ったところによると、フィッシングリンクにはETAやバスク地方のニュースへの参照も含まれていましたが、Kasperskyの報告書ではそれらは省略されていました。
カスペルスキーの報告によると、これらの悪質なリンクをクリックすると、被害者はユーザーの特定のデバイスをハッキングするエクスプロイトを使用して感染し、その後、疑いが生じないように正当なウェブページにリダイレクトされるという。
Caretoの攻撃者は、カスペルスキー社のウイルス対策ソフトの旧バージョンに存在する、すでに修正済みの脆弱性も利用した。同社は2014年に発表した報告書の中で、この脆弱性を利用して初めてこのマルウェアを発見したと述べている。
カスペルスキーのソフトウェアはキューバで広く普及していたため、カレト氏はインターネットに接続できる島内のほぼすべての人を標的にすることが可能だった。(独立系ニュースサイト「キューバ・スタンダード」によると、2018年までにこのロシアのウイルス対策企業は、キューバのインターネットセキュリティ市場の約90%を支配していた。)このウイルス対策ソフトは国内で非常に人気があり、同社の名前は地元の俗語の一部となっている。
しかし、カスペルスキーが調査結果を発表した直後、Caretoのハッカーたちはロシア企業が発見したすべての活動をシャットダウンし、ログの消去まで行った。研究者たちは、これは「あまり一般的ではない」と指摘し、Caretoを政府系ハッカー集団の「エリート」グループに分類した。
「準備がなければ、そんなことはできない」と、元カスペルスキー社員の一人がTechCrunchに語った。「彼らは組織的に、そして迅速に、すべてを、インフラ全体を破壊した。ドカーン。すべてが消え去ったんだ」
カレトがまた捕まる
Careto が姿を消した後、昨年まで、カスペルスキーも他のサイバーセキュリティ企業も Careto を再び検出したことを公表していませんでした。
カスペルスキー社は2024年5月、カレトのマルウェアを再び発見したと発表し、同ハッカー集団がラテンアメリカの無名の組織を標的にしていたことを確認したとしている。同組織は最近2022年、2019年、そして10年以上前にも同ハッカー集団によって「侵害」されていた。
カスペルスキーによれば、カレトは中央アフリカにある名前が明らかにされていない別の組織もハッキングしたという。
2024年12月下旬のブログ投稿で、カスペルスキーの研究者は、10年前のCaretoの活動で見つかったファイル名と「驚くほど類似」していたファイル名や、特定のハッキンググループの独特の行動を指すサイバーセキュリティ用語である戦術、技術、手順(TTP)の重複などに基づき、「中程度から高い確信度で」新たなハッキングはCaretoによるものだと結論付けた。
2024年10月に開催されたVirus Bulletinセキュリティカンファレンスで論文を執筆し、研究成果を発表したカスペルスキーの研究員、ゲオルギー・クチェリン氏とマーク・リベロ・ロペス氏は、カレト氏は「常に極めて慎重にサイバー攻撃を行ってきた」ものの、10年前のカレトの活動と一致する「最近の活動では、小さいながらも致命的なミスを犯してしまった」と述べた。
それにもかかわらず、クチェリン氏はTechCrunchに対し、カレトハッキンググループの背後に誰が、あるいはどの政府がいるのかは分からないと語った。
「おそらく国家によるものでしょう」とクチェリン氏は述べた。「しかし、それがどのような組織で、誰がマルウェアを開発したのか?技術的な観点からは、それを特定することは不可能です。」
お問い合わせ
Careto(別名The Mask)やその他の政府系ハッカー集団やその活動について、さらに詳しい情報をお持ちですか?仕事用のデバイスとネットワーク以外から、Signal(+1 917 257 1382)、Telegram、Keybase(@lorenzofb)、またはメールで、Lorenzo Franceschi-Bicchieraiまで安全にご連絡ください。
カスペルスキー社の最新の報告によると、今回Caretoのハッカーらは名前が公表されていないラテンアメリカの被害者の電子メールサーバーに侵入し、マルウェアを仕掛けたという。
研究者らが分析したハッキングされたマシンの1つで、カスペルスキーは、Caretoのマルウェアがコンピューターのマイクを密かにオンにし(通常はマイクがオンになっていることをユーザーに知らせるWindowsアイコンを隠したまま)、個人文書などのファイル、パスワードなしでアカウントにアクセスできるセッションCookie、複数のブラウザのWeb閲覧履歴などを盗む可能性があることを発見した。
報告書によると、別の被害者の場合、Careto のハッカーはバックドア、キーロガー、スクリーンショット撮影ツールとして機能する一連のインプラントを使用していた。
捕まったにもかかわらず、カスペルスキー社が10年以上前に発見したものと比べても、カレトのハッカーたちは「今でも優秀だ」とクチェリン氏は語った。
クチェリン氏は、北朝鮮のラザルス・グループや中国のAPT41のような、より大規模でよく知られている政府支援のハッキンググループと比較すると、カレトは「複雑さの点でそれらすべての大規模な脅威を凌駕する、非常に小規模な(高度な持続的脅威)だ」と述べた。
「彼らの攻撃は傑作だ」とクチェリンは語った。
