極めて高度なマルチプラットフォームマルウェアを使用したサイバースパイ活動は5年以上も検知されず、30か国以上の数百の政府機関や民間組織のコンピューターに侵入した。
この攻撃作戦の詳細は、ウイルス対策会社カスペルスキー研究所のセキュリティ研究者らが月曜日に発表した論文で明らかにされた。研究者らは、この攻撃作戦は国家の支援によるものである可能性があると考えている。
カスペルスキーの研究者たちは、この攻撃全体を「The Mask」と名付けました。これは、攻撃者がメインのバックドアプログラムをスペイン語で「Careto」と呼んでいた単語の英語訳です。マルウェア内で見つかった他の文字列に基づき、研究者たちは作成者がおそらくスペイン語に堪能であると考えています。これはAPT(Advanced Persistent Threat:高度で持続的な脅威)攻撃としては異例のことです。
「被害者のシステムで活動すると、The Maskはネットワークトラフィック、キーストローク、Skype会話、PGPキーを傍受し、Wi-Fiトラフィックを分析し、Nokiaデバイスからあらゆる情報を取得し、スクリーンキャプチャを行い、あらゆるファイル操作を監視することができます」と、カスペルスキーの研究者は研究論文で述べています。「このマルウェアは、暗号化キー、VPN設定、SSHキー、RDP(リモートデスクトッププロトコル)ファイルなど、感染システムから膨大な量の文書を収集します。また、監視対象となっている拡張機能の中には、特定できていないものもいくつかあり、軍や政府レベルのカスタム暗号化ツールに関連している可能性があります。」
ワールドワイドウェブの苦悩
攻撃者が利用していた一連のコマンドアンドコントロール(C&C)サーバーを調査・監視した結果、31カ国380人以上の被害者が明らかになりました。この攻撃の主な標的は、政府機関、大使館やその他の外交使節団、エネルギー・石油・ガス企業、研究機関、プライベートエクイティ企業、そして活動家です。
カスペルスキー カスペルスキーによると、Caretoフックは世界中のシステムに侵入しているという。(クリックして拡大)
被害者は、JavaおよびAdobe Flash Playerのエクスプロイト、そしてMozilla FirefoxとGoogle Chromeの悪意ある拡張機能をホストするウェブサイトへのリンクを含むスピアフィッシングメールによって標的にされました。使用されたURLは、ガーディアン紙、ワシントン・ポスト紙、インディペンデント紙など、多くのスペイン語圏の有名新聞のウェブサイトを偽装するものでした。
C&Cサーバーでアクセス可能なデバッグログから収集された履歴データによると、1,000件以上の被害者IP(インターネットプロトコル)アドレスがC&Cサーバーに接続していたことが示されました。被害者IPアドレス数上位5カ国は、モロッコ、ブラジル、英国、スペイン、フランスでした。
カスペルスキーは、シンクホールと呼ばれる手法で、一部のC&Cサーバーのドメイン名を自社の管理下にあるサーバーにリダイレクトし、統計情報を収集することで、現在の被害者の所在地に関するより正確な情報を収集することに成功しました。シンクホールサーバーへの接続を積極的に監視した結果、国によって分布は異なりましたが、スペイン、フランス、モロッコはIPアドレス数と被害者IDの両方で依然として上位5位以内に留まりました。
攻撃者は1月にコマンド&コントロールサーバーのシャットダウンを開始し、現在、カスペルスキーの研究者が把握しているすべてのサーバーはオフラインになっています。しかしながら、すべての被害者が特定されたとは限らないため、本論文では、組織が自社のネットワークやシステムでこの脅威による侵入を確認するために活用できる技術的な詳細を記載しています。
また、攻撃者が攻撃キャンペーンを再開する可能性も排除できないと研究者らはブログ投稿で述べた。
高度な脅威
洗練度という点では、カスペルスキーの研究者は、The Maskキャンペーンを、同社が過去数年間に特定したDuqu、Gauss、Red October、Icefogなどの他のサイバースパイ活動よりも優れていると評価している。
「Caretoの場合、この攻撃の背後にいるグループの運用手順には、非常に高度な専門性が確認されました。インフラの監視、運用の停止、アクセスルールによる監視の回避、ログファイルの削除ではなく完全消去などが含まれます」と研究者らは論文で述べています。「これはAPT攻撃ではあまり一般的ではなく、Maskは『エリート』APTグループの範疇に入るでしょう。」
カスペルスキー だから彼らはそれをカレト、つまり「マスク」と呼ぶのです。
攻撃者が使用したマルウェアツールセットには、3つの異なるバックドアプログラムが含まれており、そのうちの1つはWindowsに加えてMac OS XとLinux向けのバージョンもありました。C&Cサーバー上では、iOSおよびAndroidデバイスへの感染を示唆する証拠もいくつか確認されましたが、これらのプラットフォーム向けのマルウェアサンプルは回収されませんでした。
カスペルスキーの研究者によると、Caretoバックドアプログラムはシステム情報を収集し、追加の悪意のあるコードを実行する可能性があるという。また、ブラウザプロセスにいくつかのモジュールを挿入し(Internet Explorer、Mozilla Firefox、Google Chromeで実行可能)、コマンド&コントロールサーバーと通信する。
Caretoは、モジュール型アーキテクチャを採用し、容易に拡張可能なSGHと呼ばれる、より複雑な2つ目のバックドアプログラムのインストールによく利用されます。この2つ目の脅威にはルートキットコンポーネントが含まれており、システムイベントやファイル操作を傍受するモジュールに加え、多数の監視機能を実行するモジュールも備えています。
SGHは、検出を回避するために、カスペルスキー社のアンチウイルス製品の旧バージョンの脆弱性を悪用しようとします。これがそもそも研究者の注目を集め、調査を促した要因です。しかし、この脆弱性は2008年に修正されており、影響を受けるのはカスペルスキー・ワークステーション6.0.4より前のバージョンと、適切にアップデートされていないカスペルスキー・アンチウイルスおよびカスペルスキー・インターネット・セキュリティ8.0のインストールのみです。
3つ目のバックドアプログラムは、SBD(Shadowinteger's Backdoorの略)と呼ばれるオープンソースプロジェクトに基づいています。SBD自体はnetcatネットワークユーティリティをベースにしています。カスペルスキーの研究者は、The Mask作戦に関連して、Windows、Mac OS X、Linux向けにカスタマイズされたSBDの亜種を発見しましたが、Linux版は破損しており、解析できませんでした。
ベテラン
長年にわたり「ザ・マスク」で使用されてきたバックドア プログラムのさまざまな亜種が特定されており、最も古いものは 2007 年にコンパイルされたようです。
ほとんどのサンプルは、ブルガリアのTecSystem Ltd.という会社が発行した有効な証明書でデジタル署名されていましたが、この会社が実在するかどうかは不明です。証明書の1つは2011年6月28日から2013年6月28日まで有効でした。もう1つは2013年4月18日から2016年7月18日まで有効のはずでしたが、その後VeriSignによって失効しています。
「国家レベルのサイバー攻撃活動は、発見され、完全に分析されるまで何年も闇に潜んでいる可能性があります」と、カスペルスキー研究所の主任セキュリティ研究者であるイゴール・ソウメンコフ氏はメールで述べています。「サンプルが検出されても、研究者には『全体像』を把握するためのデータが不足していることがあります。Caretoでは、カスペルスキー製品に対する攻撃を分析するだけでなく、全体像とは何かを理解することを目指しました。」
ソウメンコフ氏は、スペイン語の使用と最も古いサンプルの編集日が、中国、ロシア、米国以外の国の国家支援を受けた攻撃者が、これまで考えられていたよりも長い間、サイバースパイ攻撃を続けていることを示唆していると考えている。
