古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

2012年から人知れず活動していたマルウェアみつかる。ルーター媒介、2つのモジュールを協調動作

Engadget 日本版 のロゴ Engadget 日本版 2018/03/14 10:00

© Engadget 日本版 提供 カスペルスキー・ラボが、国家が関与していると目される、新たなマルウェアを発見したと報告しました。「Slingshot」と名付けられたそのマルウェアは高度かつ洗練された仕掛けを備えており、約6年ものあいだ発見されることなく感染や活動を続けていたと考えられます。

Slingshotの感染経路はまだ性格には判明していません、しかし、攻撃者はSkingshotを操作してラトビアMikroTik製のルーター製品にアクセスし、そのルーターが内蔵するWindows システムのライブラリー(DLL)を悪意あるものにすり替えます。

そして、ネットワーク管理者がこのルーターから管理ツール「Winbox」をダウンロードして使用する際に、すり替えたDLLも一緒にダウンロードさせ、PCのDLLを悪意あるものへと置き換えます。こうなれば、あとはWinboxが起動されたときに、悪意あるDLLが呼び出されて動作を開始するだけです。

Slingshotの動作は2本立てで構成されており、カーネルモードで動作する「Canhadr(もしくはNDriver)」はストレージやメモリー、I/O操作といった低レベルな要素を司る機能を備え、システムをクラッシュさせることなく悪意あるコードを実行、攻撃者によるHDDやRAMへの自由なアクセスを可能とします。

もう一つの「Gollum」はユーザーモードで動作し、1500以上のユーザー関数によってスクリーンショット取得からキーロギング、ネットワーク情報の窃取、リモート操作などを維持するように動作します。カスペルスキーはこれら2つが互いに協調動作する点や、特に悪意あるカーネルコードをクラッシュさせずに動作させるという並々ならぬ妙技を実現している点を指してSlingshotを「傑作」だと評しています。

さらに、Slingshotは本体を暗号化された仮想ファイルシステムに保存し、2つのモジュールとのやりとりも完全に暗号化、サービスを直接呼び出すなどしてアンチウィルスソフトウェアの目をかいくぐり、フォレンジックツールが動作すれば自らのコンポーネントをシャットダウンします。もし、何らかの解析ツールが動作するならばおそらくSlingshotはそれに対応して身を隠すだろうとのこと。

これほどまでの精巧さを備えるマルウェアが何のために使われているのかについて、カスペルスキーはベルギーの通信事業者Belgacomに侵入するために使用されたマルウェア「Regin」を開発したとされる英国の政府通信本部(GCHQ)のような、国家機関が背後にあると推測しています。開発は英語圏で行われている可能性が高いものの、100台あまりのSlingshotの感染がアフガニスタン、イラク、ヨルダン、ケニア、リビア、トルコといった国々の政府施設に集中していることから、重大なテロを監視する目的で、オーストラリア、カナダ、ニュージーランド、英国および米国のどれかがその開発に関わっている可能性が考えられます。ただし、これは確かな情報というわけではありません。

感染を許したMikroTikのルーター製品に関しては、ファームウェアアップデートが提供される予定です。ただし、他の会社のルーター製品が同様の攻撃を受けていないという保証もありません。もしそのような動きが確認されるれるならば、Slingshotはわれわれが知るよりはるかに広範に、いま現在も機密データを吸い上げているかもしれません。

Engadgetの関連記事

image beaconimage beaconimage beacon