メインコンテンツにスキップする

Kaspersky、Linuxを標的としたバックドアの3年間にわたる拡散を発見

2023年10月5日

~ 人気無料ソフトのインストーラーを悪用したサプライチェーン攻撃か ~

本リリースは、2023年9月12日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのリサーチャーはこのたび、人気の無料ソフトウェア「Free Download Manager」のインストーラーを悪用し、少なくとも3年にわたりLinux用のバックドアが拡散されていたことを発見しました。マルウェアの感染は、Free Download Managerの公式サイトからLinux用ソフトウェアをダウンロードした際に起こっていたことが調査によって判明しており、サプライチェーン攻撃の可能性があるとみています(現在は対応済み)。調査の結果、ブラジル、中国、サウジアラビア、ロシアなど、さまざまな国で感染の試みを確認しています。分析したバックドアの亜種は、当社のLinux向け製品では2013年から検知、ブロックしていますが、Linuxはマルウェアに感染しないという誤解が根強く、多くのLinuxシステムで十分なサイバーセキュリティ保護が適用されないままになっています。なお、Free Download Managerチームは当件について公式声明を発表し※1(9月13日、現地時間)、2020年から2022年の間にLinux用ソフトウェアをダウンロードしたユーザーに対し、マルウェア感染していないかを確認するためにシステムをスキャンすること、およびパスワードの変更を推奨しています。

今回、当社のリサーチャーが特定したのは、Linuxシステムを標的としたバックドアの拡散です。その手口は、人気の無料ソフトウェアFree Download Manager公式サイトを侵害し、トロイの木馬の一種であるバックドアを標的デバイスに感染させるというものです。デバイスを感染させた後は、Linuxシステムの詳細情報、閲覧履歴、保存済みパスワード、暗号通貨ウォレットファイル、さらにはクラウドサービス(Amazon Web Services、Google Cloudなど)の認証情報などを窃取します。当社のテレメトリによると、この攻撃はブラジル、中国、サウジアラビア、ロシアほか、世界各地で発生しています。当社のリサーチャーは、この攻撃活動はサプライチェーン攻撃である可能性が高いとみています。

リサーチャーは調査を進める中で、YouTubeで公開されているLinux用のFree Download Managerのインストールガイドで、動画の制作者が意図せずマルウェアを含んだパッケージのダウンロードを録画していることに気が付きました。動画では、公式サイトでLinux用パッケージダウンロードボタンをクリック後、悪意のあるサイトへリダイレクトされ、悪意のあるバージョンがダウンロードされていました。一方で、同時期の別の動画では、正規のバージョンがダウンロードされていたことから、悪意のあるリダイレクトのスクリプトは、一定の確率または特定の条件に応じて出現するようになっていたと考えられます。結果として、正規のパッケージを問題無くインストールできる場合もありました。

当社の調査では、マルウェアを含むパッケージは2020年にリリースされたLinux用のFree Download Managerで、この感染の試みは少なくとも2020年から2022年の3年間にわたって続いていたことが判明しています。さかのぼってオープンソースチェックを行った結果、この期間にはナレッジコミュニティのStackOverflowやRedditなどのWebサイトでも感染したFree Download Managerの配布が原因で発生した問題に関する投稿が行われていましたが、悪意のある攻撃活動に起因するものであることには誰も気付いていませんでした。

KL-ThreeLongYear-Supplychain-1 図:Free Download Managerインストール時の疑問について質問するユーザー(RedditのWebサイト)。後にマルウェアが含まれていたことが判明。

Kaspersky グローバル調査分析チーム※2のセキュリティエキスパート、ゲオルギー・クチェリン(Georgy Kucherin)は、次のように述べています。「今回分析したバックドアの亜種は、2013年に発見して以降、当社ソリューションで検知可能になっています。ところが、Linuxはマルウェアに感染しないという誤解が根強く、多くのLinuxシステムで十分なサイバーセキュリティ保護が適用されないままになっています。保護が十分ではないため、Linuxシステムはサイバー犯罪者にとって格好の標的となっています。Free Download Managerの事例からは、Linuxシステムで進行しているサイバー攻撃を人の目で見つけることの難しさが浮き彫りになりました。Windowsと同様に、Linuxベースのシステムでは、信頼の置ける効果的なセキュリティ対策を実装することが重要です」

■ 当攻撃活動についての詳細は、Securelistブログ(英語)「Free Download Manager backdoored – a possible supply chain attack on Linux machines」でご覧いただけます。

■ Linuxを狙う攻撃活動からご自身と企業を守るために、以下の対策をお勧めします。
・既知および未知の脅威を効果的に防ぐために、ふるまいに基づく検知を備えた、定評のあるエンドポイントセキュリティソリューション(Kaspersky Endpoint Security for Businessなど)を採用する
Kaspersky Embedded Systems Security for Linuxを使用する。リソース制限のある環境下での利用に最適化しており、アンチマルウェア機能と管理機能により多層防御を実現します
・窃取された認証情報はダークウェブで販売される可能性があるため、Kaspersky Digital Footprint Intelligenceを使用してシャドーリソースを監視し、関連する脅威を速やかに見つけ出す

*2023年10月11日訂正:プレスリリース文最後の「推奨する対策」において、対応機能の一部を更新しました

※1 Free Download Manager公式声明はこちら 
※2 グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky、Linuxを標的としたバックドアの3年間にわたる拡散を発見

~ 人気無料ソフトのインストーラーを悪用したサプライチェーン攻撃か ~
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース