ロシア政府系ハッカー集団「ファンシーベア」が未発見のLinuxマルウェアツール「Drovorub」で国家安全保障を脅かしているとFBI・NSAが警告

アメリカの連邦捜査局(FBI)と国家安全保障局(NSA)が、ロシア政府が支援するサイバースパイ集団「ファンシーベア」が未知のLinux向けマルウェア「Drovorub」を使って、機密性の高いネットワークへの潜入や機密情報の盗み取りなどのハッキングなどを行っていると、共同で発表しました。

Russian GRU 85th GTsSSDeploys PreviouslyUndisclosed Drovorub Malware
(PDFファイル)https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

NSA and FBI warn that new Linux malware threatens national security | Ars Technica
https://arstechnica.com/information-technology/2020/08/nsa-and-fbi-warn-that-new-linux-malware-threatens-national-security/

ファンシーベアはロシアの軍事情報機関であるロシア連邦軍参謀本部情報総局(GRU)に直属するハッキンググループで、「APT28」「Sofacy Group」「STRONTIUM」などとも呼ばれています。ファンシーベアは2014年半ばから精力的に活動しており、プーチン大統領を批判する記事を書いたジャーナリストを標的とした攻撃を行ったり、ロシアが国家ぐるみでドーピングを行っていたことが判明した2016年に世界アンチ・ドーピング機関をハッキングしたり、ウクライナ陸軍にマルウェアを仕掛けてロケット砲やミサイルを無力化したりなどといった犯行が確認されています。また、2016年のアメリカ大統領選挙におけるロシア干渉疑惑、いわゆる「ロシアゲート」にもファンシーベアが関与しているといわれています。

米大統領選でロシアの関与した「ロシアゲート」のFacebook投稿は1億2600万人にリーチ・ツイートは13万1000件・YouTubeには1000本以上の動画 - GIGAZINE

FBIとNSAによれば、「Drovorub」はファンシーベアが管理するC2サーバーと通信するインプラント、カーネルモジュールのルートキット、ファイル転送およびポート転送ツール、そしてC2サーバー構築ツールで構成されるツールキットです。Drovorubのマルウェアはroot権限で実行され、マルウェアのオペレーターは目標のシステムを完全に制御できるようになるとのこと。Drovorubはこれまで知られておらず、近年の研究で存在が明らかになったそうです。

FBIとNSAは、Drovorubを「国家安全保障を脅かしうるマルウェアツールキットである」と評価。Drovorubによる被害を受けないようにするために、システム管理者はすべてのセキュリティ更新プログラムをインストールした上で、Linuxカーネルをバージョン3.7以降にアップデートし、有効なデジタル署名を持つモジュールのみをロードするようにシステムを構成するべきとしています。また、ネットワーク管理者はYARAやSnortといった不正侵入検知システムなどで怪しいネットワークトラフィックを捕捉して停止したり、Drovorub関連のファイルやプロセスにフラグを付けたりすることも対策として挙げています。

なお、長年ファンシーベアを追跡しているセキュリティ研究者のドミトリ・アルペロヴィッチ氏によれば、「Drovorub」という名前は「木こり」という意味を持つと同時に、(カーネル)ドライバーを意味するロシア語「Drova」にも通じているとのことです。