マルウェアが旧東側政府などをスパイ、水飲み場型で感染--シマンテック解析

山田竜司 (編集部) 2014年08月18日 10時32分

  • このエントリーをはてなブックマークに追加

 2年前に検出された、「Wipbot」や「Turla」と呼ばれるマルウェアは、旧東側諸国の政府機関や大使館をスパイしていた。背景や攻撃手法などをSymantecが解析した。

 攻撃者は当初、バックドア型の「Trojan.Wipbot(別名Tavdig)」で偵察活動を始め、その後「Trojan.Turla(別名Uroboros、Snake、Carbon)」を使った長期的な監視活動にシフトした。この組み合わせで少なくとも4年間、典型的なスパイ活動があったという。選ばれた標的の特徴とマルウェアに使われた高度な技術から、攻撃活動の背後には国家が支援しているグループが存在すると考えられるとしている。

 Turlaは強力なスパイ機能を備えており、コンピュータに合わせて起動するように設定されている。ユーザーがブラウザを立ち上げるとバックドアを開き、攻撃者との通信を有効にするという。攻撃者は、感染したコンピュータからこのバックドアを介し、ファイルのコピー、サーバへの接続、ファイルの削除、他のマルウェアのロードと実行などが可能としている。

 Turlaの背後にいるグループは2段階の攻撃戦略を用いており、スピア型のフィッシングメールや水飲み場型攻撃を使って感染させる。水飲み場型攻撃では、極めて限定された正規のウェブサイトを侵害して、事前に指定したIPアドレス範囲からアクセスした標的のみにマルウェアを配布する。侵害されたウェブサイトから配布されたTrojan.WipbotがTurlaをダウンロードして標的に配布している可能性が極めて高いという。

 当初、この感染は欧州諸国で拡散しているように見えたが、詳細な分析の結果、西欧圏での感染の多くは、かつてのソ連など旧東側諸国の政府機関のネットワークに接続されているコンピュータで発生していると判明した。感染は、これらの国の大使館で発生したとみられるという。

 感染を分析したところ、攻撃はいくつかの特定の国に集中しており、2012年5月には、旧ソ連構成国の首相事務局で発生した感染が広がり、最大60台のコンピュータが侵害されたと説明している。

 2012年末に別の旧ソ連構成国の在仏大使館で発生した感染は、2013年になると同国外務省のネットワークに接続されたコンピュータに拡散を開始し、さらに内務省にも感染を広げた。調査を進めたところ、同国の外交活動を標的とした組織的なスパイ活動が発覚した。ベルギー、ウクライナ、中国、ヨルダン、ギリシア、カザフスタン、アルメニア、ポーランド、ドイツの大使館でも感染が確認されたという。

 同じ地域内で、少なくとも5カ国が同様の攻撃の標的となっていた。攻撃者の狙いは主に旧東側諸国だが、西欧の保健省、中米の教育省、中東の電力関連機関、米国の医療機関など、他の標的もいくつか確認されているとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]