AutoCADで作った設計資料や青写真を中国へ送信する産業スパイワームが出現
By studiospecialplace
AutoCADのテンプレートファイルに感染して拡散し、設計した資料などのファイルをこっそりと中国の43箇所のメールアドレス宛に送信するという産業スパイのようなワームが確認されました。犯人が何者なのかは特定されていませんが、中継用アカウントの削除は完了しており、これ以上の被害は出ないであろうと報告されています。
AutoCAD Worm Stealing Designs, Blueprints | threatpost
ACAD/Medre.A – 10000′s of AutoCAD files leaked in suspected industrial espionage | ESET ThreatBlog
このワームの名前は「ACAD/Medre.A」で、最初に専門家たちの観測網にかかったのは6ヶ月前でした。
ACDA/Medre.Aは、AutoCAD製品の中で使われるスクリプト言語AutoLISPで書かれており、個別のアクションのためにVisualBasicスクリプトも使用されていました。このワームは新しいマシンに感染するとAutoCADの設定を書き換えて、保存されていたデータなどを中国のISP「163.com」と「qq.com」にある合計43のアカウントに対して送信していました。
ESETの調べによると、感染対象の多くはペルーですが、そのほかにエクアドルなど周辺のラテンアメリカ諸国、そしてアメリカや中国でも感染例が見られるとのこと。
感染国分類、ほとんどがペルーで、エクアドル、コロンビアとラテンアメリカの国が続いています。
盗み出されたファイルの種類。青写真、プロジェクトのほかにデスクトップ、「Adnimistrator」フォルダなど、様々な情報を抜き取っています。
カスペルスキー研究所にもサンプルが届けられており、カスペルスキー・ラテンアメリカでグローバルリサーチ・分析チームのリーダーを務めているディミトリー・ベストゥージェフさんは、このワームが特定の国や企業だけを狙って執拗に攻撃を行うAPT(Advanced persistent threat)ではなく、攻撃がまったくコントロールされていないと分析しています。ベストゥージェフさんによれば、この攻撃がどこかの政府の支援を受けているようには見えないとのこと。ちなみに、AutoCADを導入していない企業からもサンプルの提出があったそうです。
感染したマシンから送られるRARファイル
このRARファイルに含まれているDXFファイルには盗み出したデータを正しい環境で使えるようにするためのデータが格納されています
ESETが「qq.com」の管理者であるTencentに連絡を取ってメールアカウントを調査したところ、受信箱は10万通以上のメールでぱんぱんになっていたそうです。その大量のメールの中身は「最終受信者の受信ボックスが満杯です」というエラーメッセージで、送信箱には約5000通の未送信メールがあったそうです。
AutoCADのドローイングファイル(.dwg)を送ろうとした形跡
ESETからの連絡を受けてTencentは迅速にこれらのアカウントを削除、またCVERC(中国コンピュータウイルス緊急対応センター)もアカウント削除に協力してくれたため、これ以上の情報流出は防げたであろうとのこと。
ACDA/Medre.AがターゲットとしているのはAutoCADのバージョン14.0から19.2で、さらに今後リリースされるバージョンでも動くと考えられています。
ESETからの連絡を受けて、AutoCADの開発元であるオートデスク社もこの問題の解決を全力でサポートすることを決定しています。
・関連記事
核再処理工場を攻撃、ウラン遠心分離機が一時的に制御不能になったサイバー攻撃「ターガタック」とは? - GIGAZINE
原発や軍事用に使われている中国製シリコンチップにサイバー攻撃可能な未知のバックドアが発見される - GIGAZINE
児童ポルノ画像を勝手に保存するウイルス「MELLPON」と児童ポルノ単純所持を通報するウイルス「Noped」 - GIGAZINE
「第三次世界大戦が始まったぞ!」という内容で核爆発の画像があるページへ誘導する謎のメール - GIGAZINE
MSNメッセンジャーを使って拡散するワーム「W32.Scrimge.A」 - GIGAZINE
悪意あるソフトの80%はアンチウイルスソフトが効かない - GIGAZINE
・関連コンテンツ