Kaspersky Labの社内ネットワークに新型マルウェア「Duqu 2.0」が侵入

by Sergey Galyonkin

ウイルス対策ソフト「カスペルスキー」で知られるセキュリティ関連企業Kaspersky Labが、社内ネットワークへの不正侵入者を発見。大規模な調査を実施したところ、かつて核再処理工場のサイバー攻撃に用いられた「Stuxnet」と関連があると言われている「Duqu」の進化版である「Duqu 2.0」が見つかったとのこと。

Kaspersky Lab、同社を含む欧州、中東、アジアの企業・団体を標的にしたサイバー攻撃を確認 | カスペルスキー
http://www.kaspersky.co.jp/about/news/virus/2015/vir10062015

The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns - Securelist
https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/

Kaspersky Lab cybersecurity firm is hacked - BBC News
http://www.bbc.com/news/technology-33083050

2010年に、Windowsのゼロデイ脆弱性を突いてシーメンスの制御システムデータベースを狙うマルウェア「Stuxnet」が見つかりました。Stuxnetの目的はアメリカの配電網を危険にさらし、重要な詳細情報を悪意のある攻撃者のもとへ送信することだと言われていて、実際にイランの核再処理工場でウラン遠心分離機を一時的に制御不能に陥らせています。

この「Stuxnet」と同じように、将来的な攻撃を見据えて、特定組織から機密データや資料を収集して送信するマルウェアが「Duqu」です。Stuxnetから派生したと考えられていて、2011年秋ごろに登場。ただし、2012年ごろには活動を停止したとみられていました。

今回、Kaspersky Labは社内ネットワークへの不正侵入を「Duqu」によるAPT攻撃だと断定。2011年のものから進化を遂げているため、「Duqu 2.0」と名付けて、注意を呼びかけています。

「Duqu 2.0」による攻撃は、2011年に「Duqu」でAPT攻撃を行っていたグループが周到な計画の上に実行したもので、特定国家の関与が疑われているとのこと。Kaspersky Labでは、研究開発部門の知財情報が狙われる一方で、営業・マーケティング・コミュニケーション・法務の各部門は攻撃の対象外だったそうです。

現在、攻撃に用いられたゼロデイ脆弱性はいずれもMicrosoftによってパッチが公開されており、また、「カスペルスキー」では「HEUR:Trojan.Win32.Duqu2.gen」の名前でマルウェアを検知可能だとのこと。