米国の諜報機関が使用するツールセットに類似したツールセットを備えたサイバースパイ集団が、PC に感染すると削除不可能な驚くほど高度なマルウェアを悪用し、イランやロシアなどの国の主要機関に侵入した。
カスペルスキー研究所は月曜日、これらのツールは「Equation」グループによって作成されたとする報告書を発表したが、米国国家安全保障局との関連については言及を避けた。
このグループが使用するツール、エクスプロイト、マルウェア(暗号化へのこだわりにちなんで名付けられている)は、2013年に漏洩した極秘文書に記載されているNSAの技術と強い類似性がある。
Equationの被害が最も大きかった国には、イラン、ロシア、パキスタン、アフガニスタン、インド、中国などがある。カスペルスキー社によると、これらの国では軍隊、通信機関、大使館、政府機関、研究機関、イスラム学者などが標的となった。
ファームウェアの不具合
カスペルスキーの最も印象的な発見は、Equation がハードドライブのファームウェア、つまりハードウェアとソフトウェア間のインターフェースとして機能する低レベル コードに感染する能力を持っていることです。
このマルウェアはハードドライブのファームウェアを書き換え、秘密のAPI(アプリケーション・プログラミング・インターフェース)経由でのみアクセスできる隠しセクターをドライブ上に作成します。一度インストールされると、このマルウェアは削除不可能です。ディスクのフォーマットやOSの再インストールを行っても削除されず、隠しストレージセクターはそのまま残ります。
「理論的には、我々はこの可能性を認識していたが、私の知る限り、これほどまでに高度な能力を持つ攻撃者を見たのはこれが唯一のケースだ」と、カスペルスキー研究所のグローバル調査分析チームのディレクター、コスティン・ライウ氏は月曜日の電話インタビューで語った。
NSAと同様の技術を使用するEquationと呼ばれるサイバースパイのグループが、ハードディスクドライブに感染するこれまでに見たことのないマルウェアを使用して少なくとも30カ国を攻撃した。
Seagate Technology、Western Digital Technologies、Hitachi、Samsung Electronics、Toshiba 製のドライブは、Equation の 2 つのハードディスク ドライブ マルウェア プラットフォーム「Equationdrug」と「Grayfish」によって変更される可能性があります。
報告書によれば、Equation は、ベンダーが発表した公開文書をはるかに超えるドライブの知識を持っているという。
Equationは、ハードドライブベンダーが製品をフォーマットするために使用する独自のATAコマンドセットを認識しています。ほとんどのATAコマンドは、ハードドライブがほぼあらゆる種類のコンピューターと互換性を持つことを保証する標準を構成しているため、公開されています。
しかし、ライウ氏によると、内部ストレージやエラー訂正などの機能のためにベンダーが使用しているATAコマンドの中には、文書化されていないものもあるという。「本質的には、それらはクローズドなオペレーティングシステムなのです」と彼は述べた。
ライウ氏は、そのような特定の ATA コードを取得するには、おそらくその文書にアクセスする必要があり、多額の費用がかかる可能性があると述べた。
たった1種類のドライブのファームウェアを再プログラムするだけでも「信じられないほど複雑」だとライウ氏は言う。多くのブランドの多くの種類のドライブで同じことをするのは「ほぼ不可能」だと同氏は言う。
「正直に言って、世界にこれほどの能力を持つグループは他にはないと思う」とライウ氏は語った。
Equationはセキュリティ業界をはるかに先取りしているようだ。ライウ氏によると、この種の改ざんを検出するのはほぼ不可能だという。また、ドライブの再フラッシュ、つまりファームウェアの置き換えも万全ではない。一部のファームウェアには永続的なモジュールがあり、再フォーマットできないためだとライウ氏は指摘する。
この活用手法の価値が高いことから、Equation ではこれを非常に選択的に導入しました。
「調査の結果、この攻撃の標的となった被害者はわずか数名しか特定できませんでした」とカスペルスキーの報告書は述べている。「これは、この攻撃がおそらく最も価値の高い被害者、あるいは極めて特殊な状況下でのみ利用されていることを示唆しています。」
ファニーワーム
カスペルスキーのもう一つの興味深い発見は、2008年に作成され中東とアジアを標的として使われたコンピューターワーム「ファニー」である。
カスペルスキー社によると、ファニーはコンピュータに感染するために、2つのゼロデイエクスプロイト(未知のソフトウェア脆弱性を悪用するソフトウェア攻撃)を利用していた。これらのエクスプロイトはStuxnetにも組み込まれていた。StuxnetもWindowsワームであり、イランのウラン濃縮活動の妨害に使用された。これは米国とイスラエルの共同プロジェクトと考えられている。
同じゼロデイ脆弱性が使用されたのは偶然ではない可能性が高い。カスペルスキーは、脆弱性が類似して使用されたことは、EquationグループとStuxnetの開発者が「同一人物であるか、密接に協力している」ことを意味すると述べている。
「それらは間違いなく関連している」とライウ氏は語った。
カスペルスキー社によると、スタックスネットとファニーはどちらも「エアギャップ」ネットワーク、つまりインターネットから隔離されたネットワークに侵入するように設計されたという。
中間者
Equationグループは、標的に悪意のあるソフトウェアを配布するために、NSAが使用するものと同様の「阻止」手法も使用しました。
カスペルスキー社は、ヒューストンで開催された科学会議の参加者の一部が、後日資料の入ったCD-ROMを受け取った経緯を説明した。CDには、2つのゼロデイ脆弱性攻撃と、「Doublefantasy」というニックネームの、めったに見られないマルウェアのドアストッパーが含まれていた。
CDがどのように改ざんまたは差し替えられたかは不明です。カスペルスキー社は「カンファレンス主催者が故意にこれを行ったとは考えていません」と述べています。しかし、このようなエクスプロイトとマルウェアの組み合わせが「偶然にCDに紛れ込むことはあり得ません」とも述べています。
NSAのテイラード・アクセス・オペレーション局(TAO)は、新しいコンピュータ機器の配送を傍受することに特化しており、これはコンピュータを盗聴する最も成功した方法の1つであると、2013年12月にデア・シュピーゲル誌が極秘文書を引用して報じた。
このドイツの出版物は、元NSA契約職員エドワード・スノーデンが漏洩した数万点の諜報機関文書にアクセスできた数社のうちの一つだった。
カスペルスキー社は、高度なマルウェアの「チフス・メアリー」とみられる中東の研究機関のコンピューターを調査した後、Equation グループの足跡を明らかにした。
ライウ氏によると、このマシンにはフランス、ロシア、スペインのAPT(高度で持続的な脅威)サンプルなどが含まれていたため、多くのグループの標的となっていたことが示唆された。また、奇妙な悪意のあるドライバーもインストールされており、調査の結果、Equationが利用していた広範なコマンド&コントロール(C&C)インフラに繋がったという。
カスペルスキー社のアナリストは、Equationに関連する300以上のドメインを発見した。最も古いものは1996年に登録されたものだった。ドメイン名登録の一部は期限切れが迫っていたため、カスペルスキー社は約20件を登録したとライウ氏は述べた。
ドメイン名のほとんどはEquationによって既に使用されていないと彼は述べた。しかし、3つはまだアクティブである。しかし、Equationは2013年後半に戦略を変更したため、これらの活動はEquationの現在の動向についてあまり手がかりを与えない。
「これら3つのドメインは非常に興味深い」とライウ氏は述べた。「ただ、どのようなマルウェアが使われているのかは分からない。」
