Kaspersky Lab は、5 年以上にわたり複数の国の政府・外交機関および科学研究所を標的とした謎のサイバースパイ活動に関する新たな調査報告書を公開しました。
~標的としたコンピューターシステム、携帯電話、企業のネットワーク機器から地政学的な機密情報などのデータを詐取する特異かつ柔軟性の高いマルウェアの開発を確認~
本リリースは、2013 年 1 月 14 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab は、5 年以上にわたり複数の国の政府・外交機関および科学研究所を標的とした謎のサイバースパイ活動に関する新たな調査報告書を公開しました。この活動は、主に東ヨーロッパ、旧ソ連、中央アジア諸国を標的としていますが、西ヨーロッパや北米を含む世界各国で攻撃が確認されています。攻撃者の主な目的は、侵入した組織からの機密文書収集であり、これまでに地政学的な機密情報、機密システムへのログイン情報、および個人の携帯機器やネットワーク機器内のデータが被害にあっています。
世界各国の外交機関のコンピューターネットワークへの攻撃が立て続けに発生したことを受け、2012 年 10 月、Kaspersky Lab の専門チームが調査を開始しました。同調査では、このサイバースパイ活動に関与する大規模ネットワークを発見し、分析が行われました。Kaspersky Lab は、この通称「レッドオクトーバー作戦」(短縮して「Rocra」と呼ぶ)が2007 年から活動しており、2013 年 1 月現在も依然、活動を続けていることをお知らせします。
主な調査結果
レッドオクトーバー作戦で用いられる高度なサイバースパイネットワーク
:この活動は 2007 年にはすでに開始されており、その攻撃の手は世界各国の政府・外交機関を中心に研究機関、エネルギー・原子力事業者、貿易、航空宇宙業界にも及んでいます。レッドオクトーバー攻撃の犯人自身が開発したマルウェア「Rocra」は、モジュラー型の独自アーキテクチャーを持ち、悪質な拡張機能、情報詐取に関与するモジュールおよびバックドア型トロイの木馬プログラムで構成されています。
この攻撃では、ウイルス感染させたネットワークから詐取した情報を利用してまた別のシステムに侵入する手口が多く用いられます。たとえば、詐取したログイン情報をリストにまとめ、別のシステムへのアクセスを行うためのパスワードまたはパスフレーズの推測に利用しています。
感染マシンのネットワークを制御するために、攻撃者達は 60 以上ものドメイン名と、複数の国のホスティングサーバー(ドイツとロシアが大半)を使用しています。Kaspersky Lab が Rocra の コマンド&コントロール(C&C) インフラを分析した結果、サーバー群はプロキシとして、中核となる制御サーバーの位置情報を隠蔽する役目を果たしていました。
感染システムから詐取した情報には、拡張子 txt、csv、eml、doc、vsd、sxw、odt、docx、rtf、pdf、mdb、xls、wab、rst、xps、iau、cif、key、crt、cer、hse、pgp、gpg、xia、xiu、xis、xio、xig、acidcsa、acidsca、aciddsk、acidpvr、acidppr、acidssa の文書が含まれていました。このうちの「acid*」は、EU や NATO などの複数の機関で使用されている機密暗号化プログラム「Acid Cryptofiler」で用いられる拡張子です。
対象への感染方法
攻撃者は、カスタマイズしたドロッパー型トロイの木馬を含むスピアフィッシング型(特定の個人/団体を標的とする)の E メールを送信してシステムを感染させます。マルウェアをインストールし、システムを感染させるために、このような E メールには、Microsoft Office と Excel に内在するセキュリティ上の脆弱性を悪用するエクスプロイトが埋め込まれていました。スピアフィッシング型 E メールで使用されるドキュメント内のエクスプロイトは、別の攻撃者が作成し、チベットの活動家やアジアのエネルギー企業を標的としたサイバー攻撃で使用されたものでした。Rocra で使用された文書内に埋め込まれた実行ファイルだけは、攻撃者が自身のコードで書き換えたものでした。ちなみに、ドロッパー型トロイの木馬で使用するコマンドの中には、コマンドプロンプトセッションでのデフォルトのシステムコードページを 1251(キリル文字の表示に必要)に変更するものがありました。
攻撃対象の組織
Kaspersky Lab のエキスパートは、2 つの方法で攻撃対象を分析しました。1 つ目は、カスペルスキー製品において遠隔でのレポート取得およびブラックリストやヒューリスティックルールによる瞬時の保護を提供し、最新の脅威の検知を可能にするために使用されるクラウドベースのインフラ「Kaspersky Security Network(KSN)」を使用する方法です。KSN では 2011 年の時点で、すでにこのマルウェアで使用されていたエクスプロイトコードが検知されています。Kaspersky Lab のエキスパートは、これを元に、Rocra に関連する攻撃の検知に成功しました。もう 1 つは、シンクホールサーバーを設置して、Rocra の C&C サーバーに接続する感染マシンを監視する方法です。これら 2 つの方法で取得したデータを分析すると、それぞれの結果の関連性が裏づけられました。
- KSN の統計情報:KSN で取得したデータからは、数百台の感染マシンが検知され、その所有者は大使館、政府組織、科学研究施設、領事館などに集中していました。感染の大半は、東ヨーロッパで発生していましたが、北米およびスイスやルクセンブルグなどの西ヨーロッパでも確認されました。
- シンクホールの統計情報:Kaspersky Lab は 2012 年 11 月 2 日から 2013 年 1 月 10 日にかけ てのデータを分析しました。この間に 39 の国々で 250 の感染マシンのアドレスから 55,000 回以上の接続が記録されました。このような接続元の感染マシンの大半はスイス、カザフスタン、ギリシャに所在していました。
マルウェア Rocra 独自のアーキテクチャーと機能
攻撃者は、異なるシステム構成に迅速に対応し、感染マシンから機密情報を取得するために、複数の拡張機能と悪性ファイルを含む、多機能型の攻撃用プラットフォームを開発しました。このプラットフォームは Rocra 独自のものであり、以前のサイバースパイ活動では一度も確認されたことがありませんでした。その注目すべき特徴は以下のとおりです。
- 「再生」モジュール:感染マシンを「再生させる」機能を持つユニークなモジュールです。このモジュールは、Adobe Reader や Microsoft Office のプラグインを偽装して侵入し、マルウェア本体が検知・削除されても標的とするシステムへのアクセスを復活させる機能を持ちます。C&C サーバーが再稼動すると、特別な文書ファイル(PDF または Office 文書)を E メール経由で対象のマシンに送信し、マルウェアを再び活発化させます。
- 高度な暗号方式に対応するスパイモジュール:スパイモジュールは、情報の詐取を主な目的としています。2011 年夏から、NATO や EU、欧州議会、欧州委員会などの組織で機密情報の保護に使用されている Acid Cryptofiler を含むさまざまな暗号化システムで作成されたファイルも対象としています。
- モバイルデバイス:従来型のワークステーションに加え、このマルウェアはスマートフォン(iPhone、Nokia、Windows Mobile など)を含むモバイルデバイス内のデータも詐取します。また、ルータ、スイッチなどの企業内ネットワーク機器の設定情報や、リムーバブルディスクから削除したファイルまで盗み出すことができます。
攻撃者の正体 :C&C サーバーの登録データや、このマルウェアの実行ファイル内のアーチファクトから、攻撃者がロシア語を使用する人物であるという強力な証拠が挙がっています。また、使用された実行ファイルは最近まで知られておらず、これまで Kaspersky Lab が行ったサイバースパイ攻撃の分析では発見されていませんでした。
Kaspersky Lab は、感染からの復旧およびリスク軽減手順に関する専門知識とリソースを提供することで、技術国際組織、司法当局、コンピューター緊急事態対策チーム(CERT)と協力し、Rocra の調査を継続しています。
米国、ルーマニア、ベラルーシ CERT の当調査へのご支援に対し、Kaspersky Lab より御礼申し上げます。
現在カスペルスキー製品は Rocra を Backdoor.Win32.Sputnik として検知、ブロックし、また感染からの復旧を行います。
Kaspersky Lab のエキスパートによる Rocra に関する調査レポートの全文は、Securelist でご覧いただけます。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。
*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2011(エンドポイントセキュリティ世界市場ベンダー別 – 2011年)で4位にランクされました。このランキングは、2012年7月に出版されたIDCレポート“Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares”(世界におけるITセキュリティ製品市場:2012年~2016年の予測と2011年のベンダーシェア)に掲載されました。このレポートは、2011年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する(ランキングする)ものです。
