政府・外交機関で暗躍するサイバースパイ「レッドオクトーバー」
ロシアのコンピュータセキュリティー大手 Kaspersky Lab が世界中の政府機関や科学研究所を標的としたサイバースパイ活動を特定したと発表した( Kaspersky Lab ニュースリリース、Full research report of Red October by Kaspersky Lab’s experts)。世界各地の外交機関のコンピュータネットワークに対する攻撃が立て続けに起きたことをうけ、2012年秋から調査を開始したところ、サイバースパイ活動に関与する大規模ネットワークを発見したという。このネットワークを Kaspersky Lab では「レッドオクトーバー作戦」(短縮して「Rocra」)と呼んでいるが、2007 年から活動を開始している模様。主なターゲットは東欧・旧ソ連・中央アジア諸国の政府機関、エネルギー・原子力事業者、貿易、航空宇宙業界だが、西欧諸国や米国・日本での攻撃も確認されている。
まず特定の個人や団体を狙って、トロイの木馬を添付したスピアフィッシング型のEメールを送信。このときマルウェアをシステムに感染させるために、Microsoft Office と Excel にある脆弱性を悪用するエクスプロイトコードを用いる。その後ウイルス感染させたネットワークから詐取した情報を利用してまた別のシステムに侵入する手口が多用されている。また感染マシンのネットワークを制御するために、 60 以上ものドメイン名と、ドイツとロシアが大半を占めるホスティングサーバーを利用している、とのこと。
また感染マシンから機密情報を取得するために用いられるマルウェア Rocra は、異なるシステム構成に迅速に対応可能な独自のプラットフォームを持っているとのこと。特にユニークな機能として、Adobe Reader や Microsoft Office のプラグインを偽装して侵入し、マルウェア本体が検知・削除されても、C&C サーバーが再稼動すると、マルウェアを再び活発化させる「再生モジュール」、 Acid Cryptofiler を含むさまざまな暗号化システムのファイルを対象にした「スパイモジュール」、接続された iPhone、Nokia、Windows Mobile などのスマートフォン内のデータや、ルータ、スイッチなどの企業内ネットワーク機器の設定情報、リムーバブルディスクから削除したファイルまで盗み出せる等等。
今のところ攻撃者の正体は、C&C サーバーの登録データや、このマルウェアの実行ファイル内のアーチファクトからロシア語を使う人であることしか明らかにされていない。また現在カスペルスキー製品は Rocra を Backdoor.Win32.Sputnik として検知しブロックしているとのこと。
ところで韓国速報によれば「韓国と中国はいまだに被害事例がない」ということだが、これはいったいどういうことだろう。
政府・外交機関で暗躍するサイバースパイ「レッドオクトーバー」 More ログイン