FBIとNSA、ロシア政府関与とみられるハッカー集団によるLinuxマルウェア明らかに

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-08-14 11:00

 米連邦捜査局(FBI)と米国家安全保障局(NSA)は米国時間8月13日、ロシア軍のハッカーらによって開発、配備され、実際の攻撃で用いられた新たなLinuxマルウェアツールセットに関するセキュリティアラートと、このマルウェアの詳細を共同で発表した。

セキュリティ

 両局によると、ロシアのハッカーらは「Drovorub」という名称のマルウェアを使用し、攻撃対象のネットワーク内にバックドアを仕掛けようとしているようだ。

 両局は収集した証拠に基づき、このマルウェアがAPT28と呼ばれるグループ(Fancy BearやSednitという名称でも呼ばれている)によって開発されたとしている。APT28は、ロシア連邦軍参謀本部情報総局(GRU)の第85Main Special Service Center(GTsSS)に属する26165部隊のハッカーグループだされている。

 両局は今回の共同アラートを通じて、米国の公共/民間分野で認識を高め、IT管理者らが検出機構や防止手段を迅速に講じられるようになることを期待している。

Drovorub:LinuxをハッキングするAPT28の「スイスアーミーナイフ」

 両局によると、Drovorubは複数のコンポーネントで構成されたシステムであり、インプラントや、カーネルモジュールのルートキット、ファイル転送ツール、ポートフォワーディングモジュール、C&Cサーバーを含んでいる。

 McAfeeの最高技術責任者(CTO)Steve Grobman氏は同日、米ZDNetに対して電子メールで、「Drovorubは、ファイルを盗み取ったり、標的となったコンピューターを遠隔地から制御するといったさまざまな機能を攻撃者に提供する『スイスアーミーナイフ』のようなものだ」と述べた。

 また同氏は、「Drovorubは複数の機能を有しているだけでなく、検出を困難なものにする高度な『ルートキット』技術を活用することでステルス性を持つように設計されている」とし、「ステルス性によって、工作員はさまざまな標的に対してマルウェアを埋め込み、いつでも攻撃を仕掛けられるようになる」と説明した。

FBI and NSA
提供:FBI and NSA

 Grobman氏によると「米国にはサイバー攻撃の標的となり得る環境が豊富に存在している。レポートはDrovorubの目的を明記していないものの、産業スパイから選挙への介入に至るまで多岐にわたる可能性がある」という。

 両局は米国の組織に対し、APT28のハッカーらによるDrovorubのルートキットのインストールをより困難なものにするために、運用しているLinuxシステムのカーネルバージョンを3.7以降にアップデートし、「カーネルの署名強制機能」を利用するよう推奨している。

 今回の共同セキュリティアラートには、「Volatility」の実行や、隠密裏に活動するファイルの探査、「Snort」ルール、「YARA」ルールに対するガイダンスも含まれている。これらすべては適切な検知手段を配備するために有効なものだ。

 45ページに及ぶセキュリティアラートの中で、DrovorubはAPT28がこのマルウェアで使用している名称で、NSAやFBIが割り当てたのではないと説明されている。また、FBIとNSAによると、このロシアのハッカーはさまざまな活動でサーバーを再利用していたようだ。例えば、Drovorubは2019年春に明らかにされた、IoTデバイスを標的とするAPT28の攻撃で利用されたC&Cサーバーに接続していた可能性があるという。このIPアドレスは過去にMicrosoftが報告している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]