2008年から延々とPCの中に潜み続ける高性能スパイウェア「Regin」

By Alan

「Regin」とは2008年から国際的スパイ活動に使われている高性能のマルウェア。政府・インフラ企業・民間企業・研究機関および一個人を密かに調査する目的で使用され、ターゲットに合わせて能力を細かくカスタマイズできることから、世界中で集団の一括監視などに多大な効果を発揮していたことがシマンテックの調査で判明しました。

Regin: Top-tier espionage tool enables stealthy surveillance | Symantec Connect
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

高性能なバックドア・タイプのトロイの木馬マルウェアである「Regin」は、2008年から国際的スパイ・キャンペーンでの活動が確認されています。シマンテックの調査報告書によると、「Backdoor.Regin」は5つのステージを持つ「マルチステージ構造」を採用しており、初期ステージを除いた4つのステージは秘匿されつつ暗号化されているとのこと。第1ステージは合計5つのステージの読み込みという役割を持ちますが、各ステージは完全なパッケージ情報を持ち合わせておらず、Reginを分析するには5ステージ全てを入手する必要があります。

また、Reginは「モジュラーアプローチ」によってターゲットに適合したカスタムローディングを可能にするという特徴を持ち合わせています。モジュラーアプローチは「Flamer」や「Weevil(The Mask)」に類する洗練されたマルウェアにも使われており、マルチステージ読み込みによる構成は「Duqu」「Stuxnet」類のマルウェアで確認されている特徴です。

以下はセクターごとにReginの感染率を表示したグラフ。ターゲットは幅広く設定されているものの、48％は個人と中小企業が対象で、次いで通信会社の通話アクセスに対するスパイ行為が28％、接客業が9％、エネルギー産業/航空企業/調査機関が5％という内訳になっています。Reginの感染は2008年から2011年にかけて確認されましたが、新バージョンのReginが2013年以降にも再発見されています。

Reginの感染率を国家ごとに見てみると、ロシアが28％、サウジアラビアが24％、メキシコ/アイルランドが9％、インド/アフガニスタン/イラン/ベルギー/オーストリア/パキスタンがそれぞれ5％。感染経路はターゲットによって変化するものの、1台のPCのログファイルからはReginがYahoo!インスタントメッセンジャーを通じてインストールされたことが判明しています。シマンテックは、Reginがウェブブラウザおよびアプリケーションからインストールされる可能性があると伝えています。

Reginは複数のリモートアクセス機能を備えており、実際に感染してしまうと「スクリーンショットの保存」「マウスのポイント＆クリックのコントロール」「パスワードの取得」「ネットワークトラフィックの監視」「削除されたファイルの復元」などを可能にします。MicrosoftのIISウェブサーバのトラフィック監視や、LANアナライザによる行政機関の携帯電話基地局コントロール機能など、より複雑かつ高機能なモジュールも発見されているとのこと。

数年間にわたる国際的スパイキャンペーンに使用されながらも、ほとんど存在が確認されていなかった「Regin」は、検知することすら困難な高度なマルウェアであると言えます。これらの「ステルス機能」を実現するためには、大量の投資・時間・リソースが必要であるため、国家レベルの組織の関与を示唆している、とシマンテックは予想。今後シマンテックは、Reginの未確認バージョンや未発見の追加機能を探っていくとのことです。