中東を標的としたサイバースパイ攻撃で主に使用されていた、高度に洗練された新しいマルウェアの脅威が、複数のセキュリティ企業や組織の研究者によって特定され、分析されました。
イランコンピュータ緊急対応チーム(MAHER)によると、この新たなマルウェアは「Flamer」と呼ばれ、イランで最近発生したデータ損失事件の原因となっている可能性があるという。また、同チームは月曜日、このマルウェアがStuxnetやDuquといったサイバースパイ活動の脅威と関連していると考えられる根拠もあると述べた。
ウイルス対策企業カスペルスキー研究所のマルウェア研究者もこのマルウェアを分析し、地理的伝播と標的の点ではスタックスネットやドゥクと類似しているものの、異なる特徴があり、多くの点でこれら2つの脅威よりも複雑であることを発見した。
カスペルスキーの研究者が「Flame」と呼ぶこのマルウェアは、多数の個別モジュールを備えた非常に大規模な攻撃ツールキットです。様々な悪意ある活動を実行できますが、そのほとんどはデータ窃盗とサイバースパイ活動に関連しています。
とりわけ、このマルウェアはコンピューターのマイクを使用して会話を録音したり、使用中の特定のアプリケーションのスクリーンショットを撮ったり、キーストロークを記録したり、ネットワークトラフィックをスニッフィングしたり、近くの Bluetooth デバイスと通信したりすることができます。
ゆっくりと静かに広がる
カスペルスキー研究所の主任マルウェア専門家、ヴィタリー・カムリュク氏は、このツールキットの最初のバージョンの1つはおそらく2010年に作成され、その後、モジュール式アーキテクチャを活用して機能が拡張されたと述べた。
Flameは、DuquとStuxnetよりもはるかに大きい。DuquとStuxnetは、約500KBというサイズで既にセキュリティ専門家から大規模とみなされていた。Flameのすべてのコンポーネントを合計すると20MBを超え、特に1つのファイルだけでも6MBを超えるとKamluk氏は述べた。
この脅威のもう一つの興味深い点は、Flameの一部がLUAで記述されていることです。LUAはマルウェア開発では非常に珍しいプログラミング言語です。LUAはコンピューターゲーム業界でよく使用されますが、Kaspersky LabはFlame以前にこの言語で記述されたマルウェアサンプルを確認したことがないとKamluk氏は述べています。
Flame は、ポータブル USB デバイスに自身をコピーするほか、Stuxnet でも悪用された、現在パッチが適用されている Microsoft Windows プリンターの脆弱性を悪用することで、他のコンピューターに拡散します。
カスペルスキー社の研究者らは、このマルウェアが未知の(ゼロデイ)脆弱性を悪用したという証拠は発見していないが、Flameは完全にパッチを適用したWindows 7コンピューターに感染したことが分かっているため、その可能性を完全に排除することはできないとカムルク氏は述べた。
Flameは、ウイルス対策プログラムで保護されているコンピュータに感染する際、セキュリティアプリケーションによるプロアクティブな検出を誘発する可能性のある特定のアクションや悪意のあるコードの実行を回避します。これが、このマルウェアが長い間検知されずに潜伏していた理由の一つだとカムルク氏は述べています。
感染が確認された
Kaspersky Lab は、世界中のマルウェア センサー ネットワークからのデータをチェックすることで、主にイラン、イスラエル、スーダン、シリア、レバノン、サウジアラビア、エジプトなどの国々を中心とする中東およびアフリカにおける現在および過去の Flame 感染を特定することに成功しました。
しかし、ウイルス対策ベンダーのシマンテックは、ハンガリー、オーストリア、ロシア、香港、アラブ首長国連邦でも過去に感染が確認されていることを確認している。同社は、これらの感染報告が、旅行者が一時的に海外に持ち出したノートパソコンから発生した可能性を否定していない。
Flameの作者がどのような情報を狙っているのかは、マルウェアが窃取してC&Cサーバーに送り返すことができるデータが多岐にわたることから、判断が難しい。Kamluk氏によると、マルウェアのどのモジュールと機能を使用するかは、おそらく攻撃者が個々の標的ごとに個別に判断しているのだろうという。
標的となった組織も、特定の業界パターンに沿っているわけではないようです。このマルウェアは、政府機関、教育機関、民間企業のコンピュータだけでなく、個人所有のコンピュータにも感染しています。
DuquやStuxnetと同様に、Flameの作成者は明らかではありません。しかし、このマルウェアの複雑さと、同様のマルウェアを作成するために必要なリソースの量から、セキュリティ研究者は、国家によって作成または支援されたと推測しています。
カスペルスキーの研究者たちは、このマルウェアを特定の国や地域に結び付ける証拠は発見しなかった。しかし、コード内に英語で書かれたテキストが含まれているとカムルク氏は述べた。
「コードの調査により、シマンテックは、このマルウェアが英語を母国語とする開発者グループによって開発されたと確信しています」とシマンテックの広報担当者はメールで述べた。「マルウェアの起源を特定するのに役立つような、これ以上の観察結果は得られていません。」
Duquの発見と分析に重要な役割を果たしたブダペスト工科経済大学の暗号・システムセキュリティ研究所(CrySyS)の研究者らも、「sKyWIper」と呼ぶFlameマルウェアに関するレポートを発表した。
「我々の技術分析の結果は、sKyWIperが国家の政府機関によって多額の予算と労力を投じて開発され、サイバー戦争活動に関連している可能性があるという仮説を裏付けています」と、CrySySの研究者たちは報告書の中で述べています。「sKyWIperは、我々の調査で遭遇したマルウェアの中で最も洗練されたものであり、おそらくこれまで発見された中で最も複雑なマルウェアと言えるでしょう。」
