NSA が使用した可能性のあるキーロギング マルウェアは、長年にわたり企業、政府機関、個人をスパイするために使用されてきた高度なプラットフォームである Regin のコンポーネントとコードの重要な部分を共有しています。
このキーロガープログラムは、米国国家安全保障局(NSA)とその諜報機関パートナーが使用する攻撃フレームワークの一部である可能性が高く、「QWERTY」と呼ばれています。これは、元NSA契約職員エドワード・スノーデンがジャーナリストに漏洩したファイルの一つでした。ドイツのニュース誌「デア・シュピーゲル」は1月17日、NSAとファイブアイズ(英国、カナダ、オーストラリア、ニュージーランドの諜報機関)のマルウェア機能に関するより大規模な秘密文書集とともに公開しました。
「デア・シュピーゲルが公開した悪意のあるファイルのコピーを入手し、解析したところ、すぐにReginを連想させました」と、ウイルス対策企業カスペルスキー研究所のマルウェア研究者は火曜日のブログ投稿で述べています。「コードを詳しく調べた結果、『QWERTY』マルウェアはRegin 50251プラグインと機能的に同一であると結論付けました。」
さらに、カスペルスキーの研究者たちは、QWERTYと50251プラグインの両方が、カーネルモードフックを処理するReginプラットフォームの50225と呼ばれる別のモジュールに依存していることを発見しました。このコンポーネントにより、マルウェアはオペレーティングシステムの最高権限領域であるカーネルで実行できるようになります。
これは、QWERTYがReginプラットフォームの一部としてのみ動作可能であることを示す強力な証拠だと、カスペルスキーの研究者は述べています。「Reginプラットフォームの極めて複雑な構造と、ソースコードにアクセスできない人物が複製できる可能性の低さを考慮すると、QWERTYマルウェアの開発者とReginの開発者は同一人物、あるいは共謀していると結論付けています。」
デア・シュピーゲル誌は、QWERTYは、ファイブ・アイ・ネットワークス傘下の全パートナーが使用する、コードネーム「WARRIORPRIDE」の統合マルウェアフレームワークのプラグインである可能性が高いと報じました。これは、コード内にWzowskiLibまたはCNELibと呼ばれる依存関係への参照があることに基づいています。
NSA のカナダ版であるカナダ通信保安局が作成した別の漏洩文書では、WARRIORPRIDE は「WZOWSKI」ファイブアイズ API (アプリケーション プログラミング インターフェイス) を実装した柔軟なコンピュータ ネットワーク エクスプロイト (CNE) プラットフォームであると説明されています。
秒この文書には、WARRIORPRIDE は英国政府通信本部 (GCHQ) では DAREDEVIL というコード名で知られており、ファイブアイズ諜報パートナーは WARRIORPRIDE 用のプラグインを作成して共有できることも記されている。
QWERTY と Regin の間に新たに発見されたリンクは、セキュリティ研究者が Regin と呼ぶサイバースパイマルウェア プラットフォームが WARRIORPRIDE である可能性が高いことを示唆しています。
一部の専門家は、他の手がかりから既にこのことを疑っていました。カスペルスキー研究所によると、Reginは2013年にベルギーの暗号学者ジャン=ジャック・キスカテ氏のパソコンに感染したマルウェアプログラムです。この攻撃は、欧州委員会、欧州議会、欧州理事会などを顧客とするベルギーの通信グループ、ベルガコムに対する別のマルウェア攻撃と関連していました。
シュピーゲル誌は2013年9月、スノーデン氏が漏洩した文書に基づき、GCHQが「オペレーション・ソーシャリスト」というコードネームの秘密作戦の一環としてベルガコムへの攻撃を行ったと報じた。
ベルガコムへの攻撃の調査を依頼されたオランダのセキュリティ企業Fox-ITの共同創業者、ロナルド・プリンス氏は11月、The Interceptに対し、Reginが英国と米国の諜報機関によって利用されていたと確信していると語った。The Interceptはまた、匿名の情報源を引用し、このマルウェアが欧州議会への攻撃にも使用されたと報じている。
NSAの広報担当者は当時、同機関はザ・インターセプトの「推測」についてはコメントしないと述べていた。
Reginの存在が初めて明らかになったのは11月で、Kaspersky LabとSymantecがそれぞれ詳細な調査論文を発表しました。しかし、ウイルス対策企業はそれより少なくとも1年前からこのマルウェアの存在を認識しており、フォレンジック調査の結果から、この脅威は2006年頃から活動していた可能性が示唆されています。
セキュリティ研究者は、Regin の洗練度は Stuxnet に匹敵すると考えている。Stuxnet は米国とイスラエルによって作成されたとされるコンピューターワームで、ウラン濃縮遠心分離機を破壊してイランの核開発を妨害するために使用された。
しかし、Stuxnetとは異なり、Reginは主に破壊活動ではなくスパイ活動に利用されました。シマンテックは、10カ国で約100件のReginの被害者を発見しました。そのほとんどはロシアとサウジアラビアですが、メキシコ、アイルランド、インド、アフガニスタン、イラン、ベルギー、オーストリア、パキスタンにも及んでいます。カスペルスキー研究所によると、主な標的は通信事業者、政府機関、多国籍政治団体、金融機関、研究機関、そして高度な数学および暗号研究に携わる個人でした。
カスペルスキーのグローバル調査分析チームのディレクター、コスティン・ライウ氏は月曜日の電子メールで、2014年半ば以降、Reginによる新たな感染は発見されていないと述べた。
マルウェア プラットフォームの作成者が、それが暴露されたためにそれを完全に置き換えようとしているのか、それとも単に大幅な変更を加えているだけなのかは不明です。
「Reginプラットフォーム全体を別のものに置き換えるのは非常に難しいと考えています」とライウ氏は述べた。「そのため、完全に置き換えるのではなく、修正や改良が行われる可能性が高いでしょう。」
