Kaspersky Lab のエキスパートによるその後の詳細な分析により、少なくとも開発の初期段階には、Stuxnet と Duqu の開発チームとFlame の開発チームが手を組んでいたことがわかってきました。
本リリースは、2012 年 6 月 11 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
2012 年 5 月にマルウェア Flame が発見されたことで、これまでになく複雑なこのサイバー兵器の実態が明らかになりました。発見当初は、Stuxnet と Duqu の開発チームが Flame の開発にも関与していたという確固たる証拠はありませんでした。Flame と Stuxnet / Duqu の開発アプローチも異なっていたことから、一旦は、これらのプロジェクトは別々のチームにより実行されたものであると結論付けられました。しかしながら、Kaspersky Lab のエキスパートによるその後の詳細な分析により、少なくとも開発の初期段階には、これらのチームが手を組んでいたことがわかってきました。
真相の概要
- Kaspersky Lab は、2009 年初頭の Stuxnet に組み込まれていた「Resource 207」というモジュールが Flame のプラグインであったことを突き止めた。
- このことから、2009 年の初めに Stuxnet が作成されたときには既にFlame のプラットフォームが存在しており、2009 年には Flame の少なくとも1つのモジュールのソースコードが Stuxnet でも使用されていたことが明らかになった。
- このモジュールは USB ドライブ経由で感染を拡大させるためのもので、Flame と Stuxnet 双方で同じ感染メカニズムが採用されていた。
- Stuxnet 内の Flame モジュールも、当時は未知であった脆弱性を悪用し、権限昇格を行っていた。これが MS09-025 の脆弱性ではないかと推測される。
- Flame のプラグインモジュールは 2010 年に Stuxnet から削除され、新しい脆弱性を悪用する数種類のモジュールがこれに取って代わった。
- 2010 年以降、2 つの開発チームはそれぞれ独立して活動を行っているが、新しい「ゼロデイ」脆弱性に関するノウハウ交換の面でのみ協力体制がとられているようだ。
背景
Stuxnet は産業施設を標的とした初のサイバー兵器です。このマルウェアは、世界中で一般ユーザーの PC にも感染し、2010 年 6 月に検知されました。ただし、最も初期のバージョンはその 1 年も前に作成されていました。Duqu という名で知られるもう 1 つのサイバー兵器は、2011 年 9 月に発見されました。Stuxnet とは異なり、トロイの木馬型マルウェアである Duqu の主な役割は、感染させたシステム上でバックドアとして働き、個人情報を盗み出すことです(サイバースパイ活動)。
Duqu の分析中に、Stuxnet との顕著な類似性が明らかになりました。それは、どちらのサイバー兵器も「Tilded プラットフォーム」と呼ばれる同一の攻撃用プラットフォームを使用して作成されたという点です。この名前は、マルウェア開発者がファイル名に「~d*.*」という形式を好んで採用したことに由来しています(Tilded:「チルダ(~)の付いた」という意味)。国際電気通信連合(ITU)の依頼のもと Kaspersky Lab が実施した調査により 2012 年 5 月に発見された Flame は、当初は全く異なるマルウェアであると見られていました。プログラムのサイズ、プログラム言語に LUA を使用している点、また多機能であるなどの特徴から、Flame は Duqu や Stuxnet の作者とは関係ないとされていました。しかしながら、新たに発覚した事実が Stuxnet の歴史を完全に書き換え、「Tilded」プラットフォームが実際には Flame のプラットフォームにも関係していることを証明しました。
新たな発見
2009 年 6 月に作成されたと見られる Stuxnet の最初のバージョンには、「Resource 207」として知られる特定のモジュールが組み込まれていました。その後の 2010 年版では、このモジュールは完全に削除されています。モジュール「Resource 207」は、暗号化された DLL ファイルであり、これには「atmpsvcn.ocx」という名前を持つ 351,768 バイトの実行ファイルが含まれていました。最近の Kaspersky Lab の分析により、このファイルと Flame 内のコードとの間に多くの共通点が確認されました。相互排他オブジェクトの名前、データストリングの復号化に使用するアルゴリズム、ファイル命名法など、驚くほど多くの類似性が明らかになっています。
さらに、Stuxnet と Flame それぞれのモジュール内のコードのほとんどのセクションが同一か、あるいは類似しており、Flame と Duqu / Stuxnet のチーム間でのやり取りは、ソースコード(バイナリコードではなく)の形式で行われていたと結論付けることができます。Stuxnet の「Resource 207」モジュールの主な機能は、リムーバブル USB ドライブを介し、また Windows カーネルの脆弱性を利用してシステム上で権限昇格を行い、あるマシンから別のマシンへと感染を広げることです。USB ドライブを使用してマルウェアを拡散するためのコードは、Flame で使用されていたものと完全に一致していました。
Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ(Alexander Gostev)は次のようにコメントしています。「新たな事実が明らかになりましたが、我々は Flame と Tilded は複数のサイバー兵器の開発に使用された、全く別のプラットフォームであると確信しています。両者は異なるアーキテクチャを持ち、システムに感染して本来の目的を果たすために独自の手法を用いています。そして、それぞれが独立したプロジェクトとして成り立っていました。しかし、開発の初期段階に少なくとも 1 つのモジュールのソースコードが共通で使用されていたことが新たに判明し、双方の開発チームが一度は協力関係にあったことが証明されています。この発見は、サイバー兵器 Flame と Duqu / Stuxnet との関係を裏付ける強力な証拠であると言えます。
この調査に関するさらに詳細な情報は以下からご覧いただけます。
http://www.viruslistjp.com/analysis/?pubid=208193568マルウェア Flame について詳しく知るには、Kaspersky Lab のセキュリティエキスパートによる記事「Flame に関する FAQ」を参照してください。 http://www.viruslistjp.com/analysis/?pubid=208193522
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については http://www.kaspersky.co.jp/ をご覧ください。*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2010(エンドポイントセキュリティ世界市場ベンダー別 – 2010年)で4位にランクされました。このランキングは、2011年12月に出版されたIDCレポート“Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares”(世界におけるITセキュリティ製品市場:2011年~2015年の予測と2010年のベンダーシェア)に掲載されました。このレポートは、2010年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する(ランキングする)ものです。
