ルータ経由で標的狙うマルウェア「Slingshot」、アフリカや中東で被害か

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2018-03-13 13:49

 Kaspersky Labの研究者らが発見したスパイマルウェアは、政府が開発に関与している可能性があり、この6年間、アフリカや中東の標的を監視しているようだ。

 研究者らは「Slingshot」を開発した国の名前をまだ明かしていないが、完璧な英語で書かれたデバッグメッセージが存在することを指摘している。「Gollum」や「Smeagol」といったコンポーネント名が多数存在することは、執筆者が「ホビット」関連のファンであることを示唆している。

 Slingshotは脆弱性を含むMikroTik製ルータ向けソフトウェアを利用して、標的にリーチしたようだ。MikroTikはラトビアの企業だ。

 同社のルータ管理ソフトウェア「Winbox」は、ルータのファイルシステムからDLLをダウンロードする。Winbox Loaderはそのうちの1つである「ipv4.dll」という悪意あるライブラリを標的のコンピュータにダウンロードし、メモリに直接ロードして実行する。ipv4.dllはスパイツール群のダウンローダだ。

 「Cahnadr」と「GollumApp」という2つのツールが連携して、情報を収集などを行う。

 Kasperskyの研究者らは、Slingshotがスクリーンショットやキーボードデータ、ネットワークデータ、パスワード、USB接続、そのほかのデスクトップアクティビティ、クリップボードのデータを収集できることを確認した。

 研究者らは、SlingshotがどのようにしてMikroTikルータに感染し、PCへのWinBoxブリッジを利用するのかをまだ特定していないが、技術文書の中で、WikiLeaksが暴露した米中央情報局(CIA)の「Vault 7」に、「ChimayRed」と呼ばれるMikroTikのルータOS向けのエクスプロイトに関する記載があると指摘している。

 MikroTikによると、最新バージョンのWinBoxでは、ルータからのipv4.dllファイルのダウンロードを停止することで、攻撃経路を塞いでいるという。

 このマルウェアは狭い範囲で使われているようだ。Kasperskyが2012~2018年2月の間に同社ユーザーの間で同マルウェアを検知した件数はわずか100件だという。

 セキュリティを破られたコンピュータはケニア、イエメン、リビア、アフガニスタン、イラク、タンザニア、ヨルダン、モーリシャス、ソマリア、トルコ、アラブ首長国連邦で見つかった。

 Kasperskyが公開しているSlingshotのFAQによると、GollumAppモジュールは1500近くの機能を備えるという。

 Kasperskyは、MikroTikルータのユーザーに対し、最新のソフトウェアリリースにアップデートするよう呼びかけている。また同社は、MikroTikのWinboxソフトウェアはすでにルータからユーザーのコンピュータへファイルのダウンロードを許可しないようにしていると述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]