スペイン語圏サイバー犯罪者の台頭:各種プラットフォームに対応したマルウェアツールキットで、政府機関、電力会社、石油企業などの重要組織が標的に
〜複雑なツールセットを用いた未曾有の攻撃〜
本リリースは、2014 年 2 月 11 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
スペイン語圏サイバー犯罪者の台頭:各種プラットフォームに対応したマルウェアツールキットで、政府機関、電力会社、石油企業などの重要組織が標的に
Kaspersky Lab のセキュリティリサーチチームは本日、「The Mask」(スペイン語名:Careto)を発見したと発表しました。The Mask は、スペイン語を母語とすると思われるサイバー犯罪者による高度な攻撃で、少なくとも 2007 年から世界中でのサイバースパイ活動が確認されています。
The Mask では極めて高度なマルウェア・ルートキット・ブートキットで構成された複雑なツールキットが使用され、Windows、Mac OS X、Linux以外に、Android や iOS(iPad/iPhone)も攻撃対象となっていた可能性があります。
主な標的は、政府機関、在外公館、大使館、電力会社、石油企業、研究機関、活動家などです。この標的型攻撃によって、中東やヨーロッパから、アフリカ、南北アメリカまで、世界 31 か国で被害が出ています。
攻撃者の主な目的は感染したマシンからの機密データの収集です。オフィス文書にとどまらず、暗号鍵やVPN設定、SSH 鍵、RDP ファイルなど、さまざまな情報が盗まれました。
- ※ SSH 鍵:(SSH サーバーでユーザーを認証する手段)
- ※ RDP ファイル:(リモートデスクトップにおける接続先のコンピュータ名やログオンパスワード等の情報を 保存したファイル)
Global Research and Analysis Team(GReAT) ディレクター、コスティン・ライウ(Costin Raiu)は次のように述べています。「複数の理由から、The Mask は国家が支援する攻撃であると考えられます。まず、この攻撃の背後にいるグループは極めて高度な専門技術を有していることが確認されました。インフラストラクチャの管理手法や活動の即時停止をはじめ、アクセスルールによって好奇の目をそらしていること、ログファイルを削除せずにワイプしていることなどから、APT 攻撃の実行における専門性の高さがうかがえます。以上のような理由から、The Mask は Duqu よりも洗練された APT 攻撃であり、現時点で最も高度な脅威の1つとなっています。 APT の運用において、一般のサイバー犯罪者集団がこれほどのセキュリティへの操作を施すというのは、普通では考えられません。」
昨年、Kaspersky Lab のリサーチャーは、何者かがマルウェアの検知から逃れられるようにするエクスプロイトに気付き、それにより The Mask の存在が発覚しました。当社のリサーチャーはこの状況に関心を示し、調査が開始されました。 The Mask に感染すると甚大な被害が発生する恐れがあります。The Mask はあらゆる通信チャネルを傍受し、標的のマシンから重要な情報を収集します。ステルス型ルートキット機能、内蔵機能、追加のサイバースパイモジュールのために、検知は極めて困難です。
主な調査結果:
- The Mask の作成者はスペイン語が母語とみられています。APT 攻撃では極めてまれなケースです。
- 少なくとも 5 年前から 2014 年 1 月まで活動が続いていました(一部の The Mask サンプルは 2007 年にコンパイルされています)。Kaspersky Lab による調査中に、コマンド&コントロールサーバー(C&C サーバー)がシャットダウンされました。
- 1,000 以上の IP で 380 名を超える被害ユーザーが確認されています。
感染が確認された国と地域:アルジェリア、アルゼンチン、ベルギー、ボリビア、ブラジル、中国、コロンビア、コスタリカ、キューバ、エジプト、フランス、ドイツ、ジブラルタル、グアテマラ、イラン、イラク、リビア、マレーシア、メキシコ、モロッコ、ノルウェイ、パキスタン、ポーランド、南アフリカ、スペイン、スイス、チュニジア、トルコ、英国、米国、ベネズエラ - このサイバースパイ活動は、複雑で多種多様なツールセットが使用されていたことから、極めて異質なものとなっています。ハイエンドのエクスプロイト、極めて高度なマルウェア、ルートキット、ブートキットが用いられ、Windows、Mac OS X や Linux 向けのバージョンのほか、Android や iPad/iPhone(iOS)向けバージョンも使用されていた可能性があります。The Mask はカスペルスキー製品に対し、カスタマイズされた攻撃も行っていました。
- 攻撃の手段には、少なくとも 1 つの Adobe Flash Player のエクスプロイト(CVE-2012-0773) がありました。これは Flash Player 10.3 および 11.2 より前のバージョンを対象としたものです。VUPEN が最初に発見したエクスプロイトで、2012 年の CanSecWest Pwn2Own コンテストで Google Chrome のサンドボックスから逃れるために使用されました。
感染の手法と機能:
Kaspersky Lab の分析レポートによると、The Mask の攻撃では、悪質 Web サイトへのリンクを記載したスピアフィッシングメールが使用されています。悪質 Web サイトには多くのエクスプロイトが用意されており、訪問者のシステム設定に応じたマルウェアを感染させます。
重要な点は、該当のスピアフィッシングメール以外から悪質 Web サイトを訪問しても、エクスプロイトにはアクセスできないようになっている点です。エクスプロイトは Web サイト内の特定のフォルダーにホストされており、攻撃者は、エクスプロイト Web サイトでサブドメインを使用することで、サイト自体をより本物らしく見せ、攻撃の精度を上げるとともに発見されにくくしています。これらのサブドメインは、スペインの主要紙や、「The Guardian」「Washington Post」といった世界的に有名な新聞のサブセクションを装っています。
このマルウェアはあらゆる通信チャネルを傍受し、感染したマシンから重要な情報を収集します。ステルス型ルートキット機能のために、検知は極めて困難です。The Mask は高度なモジュール型システムで、プラグインや設定ファイルをサポートしており、数多くの機能を実行することができます。The Mask の運営者は、内蔵の機能を使うだけでなく、追加のモジュールをアップロードして、さまざまな悪質行為に利用していた可能性があります。
カスペルスキー製品は The Mask(Careto)マルウェアの既知のバージョンすべてを検知し、削除することができます。
この悪質ツールの詳細な解説と統計データ、感染の兆候については Securelist (英語)でのレポート全文および FAQでご覧いただけます。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については
http://www.kaspersky.co.jp/
をご覧ください。
