Kaspersky Labの研究者らが発見したスパイマルウェアは、政府が開発に関与している可能性があり、この6年間、アフリカや中東の標的を監視しているようだ。
研究者らは「Slingshot」を開発した国の名前をまだ明かしていないが、完璧な英語で書かれたデバッグメッセージが存在することを指摘している。「Gollum」や「Smeagol」といったコンポーネント名が多数存在することは、執筆者が「ホビット」関連のファンであることを示唆している。
Slingshotは脆弱性を含むMikroTik製ルータ向けソフトウェアを利用して、標的にリーチしたようだ。MikroTikはラトビアの企業だ。
同社のルータ管理ソフトウェア「Winbox」は、ルータのファイルシステムからDLLをダウンロードする。Winbox Loaderはそのうちの1つである「ipv4.dll」という悪意あるライブラリを標的のコンピュータにダウンロードし、メモリに直接ロードして実行する。ipv4.dllはスパイツール群のダウンローダだ。
「Cahnadr」と「GollumApp」という2つのツールが連携して、情報を収集などを行う。
Kasperskyの研究者らは、Slingshotがスクリーンショットやキーボードデータ、ネットワークデータ、パスワード、USB接続、そのほかのデスクトップアクティビティ、クリップボードのデータを収集できることを確認した。
研究者らは、SlingshotがどのようにしてMikroTikルータに感染し、PCへのWinBoxブリッジを利用するのかをまだ特定していないが、技術文書の中で、WikiLeaksが暴露した米中央情報局(CIA)の「Vault 7」に、「ChimayRed」と呼ばれるMikroTikのルータOS向けのエクスプロイトに関する記載があると指摘している。
MikroTikによると、最新バージョンのWinBoxでは、ルータからのipv4.dllファイルのダウンロードを停止することで、攻撃経路を塞いでいるという。
このマルウェアは狭い範囲で使われているようだ。Kasperskyが2012~2018年2月の間に同社ユーザーの間で同マルウェアを検知した件数はわずか100件だという。
セキュリティを破られたコンピュータはケニア、イエメン、リビア、アフガニスタン、イラク、タンザニア、ヨルダン、モーリシャス、ソマリア、トルコ、アラブ首長国連邦で見つかった。
Kasperskyが公開しているSlingshotのFAQによると、GollumAppモジュールは1500近くの機能を備えるという。
Kasperskyは、MikroTikルータのユーザーに対し、最新のソフトウェアリリースにアップデートするよう呼びかけている。また同社は、MikroTikのWinboxソフトウェアはすでにルータからユーザーのコンピュータへファイルのダウンロードを許可しないようにしていると述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。