Akamai Technologiesは米国時間6月15日、同社の研究者らが3月に発見していた、Linuxサーバーを狙うP2Pボットネットの解析結果を発表した。「Panchan」と名付けられたこのボットネットは、盗み取ったSSH鍵を用いてネットワーク間で拡散し、サーバーのメモリー上で仮想通貨のマイニングを実行する。
提供:Getty/Virojt Changyencham
Akamaiは今回の発表で、Panchanが過去に窃取したSSH認証鍵をネットワーク間で共有、拡散するために、学術機関間のコラボレーションを悪用している可能性があると警告した。
しかしAkamaiによると、Panchanはこれらの学術機関から知的財産(IP)を盗み出すのではなく、侵入したLinuxサーバーを用いて仮想通貨のマイニングを行うのだという。
現時点において仮想通貨の価値が暴落している点を考えると、他人のハードウェアを使用して仮想通貨のマイニングを実行するという行為は、かつてほどの利益をもたらさないかもしれない。しかし、Panchanの背後にいる犯罪者にとっては、コストをいっさいかけずにマイニングを実行できる。
Panchanは、他人のコンピュートパワーを使って仮想通貨のマイニングを行うクリプトジャッカーであり、プログラミング言語Goで記述されている。
Akamaiによると、Panchanが通信時に採用しているP2Pプロトコルは、平文でのTCP接続になっているが、監視を逃れられるような設計になっているという。またこのマルウェアは、秘密鍵で保護された管理者パネルによって、マイニング時の設定や配布を遠隔地から制御できる「godmode」(神モード)を備えている。
AkamaiのSteve Kupchik氏は発表に、「この管理者パネルは日本語で記述されている。これは開発者の地理的所在地に関する手がかりとなっている」と記している。
「このボットネットは、SSH鍵を収集することでネットワーク間を水平移動していくという、ユニークな(そしておそらくは新たな)アプローチを採用している。またこのマルウェアは、ほとんどのボットネットが採用しているような、乱数で生成したIPアドレスに対してブルートフォース攻撃や辞書攻撃を実施するというやり方だけでなく、id_rsaファイルとknown_hostsファイルを読み込んで既存の認証情報を収集し、ネットワーク間を水平移動するために利用している」(Kupchik氏)
Panchanを生み出した人間は、プログラミング言語Goのファンのようだ。GoはGoogleのエンジニアらによって2007年に開発された言語だ。Panchanの開発者は、Googleが3月にリリースしたGoのバージョン1.18でこのマルウェアをコンパイルしている。
またPanchanのP2Pネットワークについて見た場合、Akamaiは209のピアを発見したものの、現時点で動作しているのは40のみであり、それらはほとんどがアジア域内に存在している。
では、Panchanが学術機関により多くの影響をもたらしている理由は何だろうか?これについてAkamaiは、パスワードの管理が貧弱であるか、このマルウェアが盗み取ったSSH鍵を用いてネットワーク間を移動しているためだと推測している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
