セキュリティ

6年以上もこっそりとルーターを介して拡散していたマルウェア「Slingshot」が特定される

by Andres Atehortua

コンピューターセキュリティー会社のKasperskyは、キーロガーの疑いがある事例を分析している中で、仮想ファイルシステムに介入するマルウェア「Slingshot」を特定したと発表しました。Kasperskyによると、Slingshotはなんとルーターを感染経路として、2018年に特定されるまで少なくとも6年間、100台以上のPCへ感染していたことが分かっています。SlingshotはProject SauronReginにも匹敵するほど複雑で洗練された攻撃プラットフォームとのことで、中東からアフリカを中心に被害が報告されています。

Slingshot: Riding on a hardware Trojan horse – Kaspersky Lab official blog
https://www.kaspersky.com/blog/web-sas-2018-apt-announcement-2/21514/


The Slingshot APT FAQ - Securelist
https://securelist.com/apt-slingshot/84312/


(PDFファイル)The Slingshot APT Version: 1.0 (06.March.2018)
https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf


Slingshotは、ラトビアのネットワーク製品メーカーMikroTik製のルーターにある未知の脆弱(ぜいじゃく)性を利用していたことが判明しています。ルーターは通常の業務を行う中で、さまざまなDLLファイルをダウンロードして実行します。ハッキンググループは正当なDLLファイルの中の1つを、ファイルサイズはぴったり同じなままで悪意のあるDLLに書き替えてしまうことで、Slingshotをルーターに潜ませたことが分かっています。ただし、「一番最初にルーターへ悪意のあるDLLをどうやって潜ませることができたのか?」はまだ分かっていないとのこと。

そして、MikroTikの公式ルーター管理ソフト「Winbox Loader」を実行すると、悪意のあるDLLファイルが接続している端末にロード・実行されてしまいます。MikroTikは既にこの問題に対処済みとのことで、KasperskyはMikroTik製のルーターを使っている場合はすぐにファームウェアを最新版に更新するよう呼びかけていますが、「同じような攻撃をされているルーターはMikroTik製に限らないかもしれない」と警告しています。


Slingshotは「Cahnadr」と「GollumApp」という2つのモジュールで構成されています。Cahnadrはカーネルモードモジュールで、ファイルシステム全体をクラッシュさせたり、ブルースクリーンを出すことなく悪意のあるプログラムを実行することも可能になっているとのこと。GollumAppはユーザーモードモジュールで、スクリーンショットのキャプチャ・クリップボードのデータ窃取・ネットワーク情報の窃取・ウェブブラウザに保存されているパスワードなどの窃取などが可能になっています。


さらに、このSlingshotはセキュリティーソフトの動きを確認するとすぐさまプログラムを中断したり、PCがシャットダウンされる前にタスクを完了させるなど、セキュリティーソフトによる検出を避けるよう巧妙に設計されていたとのこと。そのために特定が遅れ、2012年に最初のサンプルが検出されて以来、2018年まで少なくとも6年間は野放しになっていたというわけです。

Kasperskyの調査によると、Slingshotの被害はケニア・イエメンを中心に、アフガニンスタン・リビア・コンゴ・ヨルダン・トルコ・スーダン・イラク・ソマリア・タンザニアなど、アフリカ・中東エリアで確認されています。被害にあったPCは100台を超え、中には政府関係の機関や企業のものも含まれているとのこと。


調査されたサンプルは「バージョン6.x」と記録されていたとのことで、この複雑なマルウェアを長きに渡って開発する必要スキルやコストは非常に高くなると予想されます。さらに、コード内のテキストには英語が含まれていたため、ハッキンググループは英語を母語としている可能性も示唆されています。したがって、このSlingshotを作成したハッキンググループは高度に組織化されたプロフェッショナル集団であり、国家がスポンサーになっている可能性も高いとKasperskyは主張しています。

・関連記事
「サウロンの目」の名を冠する脅威のスパイウェアが登場、国家レベルのスパイグループによる犯行の可能性も - GIGAZINE

2008年から延々とPCの中に潜み続ける高性能スパイウェア「Regin」 - GIGAZINE

スパイウェアが保存していた1TBの写真や個人情報などをハッカーがサーバーに侵入して削除 - GIGAZINE

画像に人間の目には見えないコードを埋め込んで広告が表示されるだけで悪質マルウェアを感染させる「ステガノグラフィー」が発見される - GIGAZINE

HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 - GIGAZINE

in ソフトウェア,   ハードウェア,   セキュリティ, Posted by log1i_yk