政府機関を狙う謎の巨大スパイ組織によるマルウェア「Turla」は衛星回線をも利用していることが明らかに

By German Aerospace Center DLR

政府機関や大使館を狙う謎の組織が「Turla」と呼ばれるマルウェアを使って偵察活動をしていることが、セキュリティ会社のカスペルスキーやシマンテックによって指摘されています。少なくとも5年以上にわたってスパイ活動を行ってきたマルウェアTurlaが、衛星回線をも利用していることが明らかになっています。

Satellite Turla: APT Command and Control in the Sky - Securelist
https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky/

政府機関や大使館、軍、製薬会社、教育機関などをターゲットに、マルウェア「Wipbot」を使ってスパイ活動を行ってきた謎のスパイ組織が、遅くとも5年前から「Turla」と呼ばれるマルウェアを使って、長期的な監視活動にシフトしたことがシマンテックの調査で明らかになっています。なお、シマンテックは「選ばれたターゲットの特徴と、マルウェアに使われた高度な技術から、攻撃活動の背後には国家が支援しているグループが存在すると考えられる」と述べ、国家レベルのスパイ活動であると指摘しています。

これはカスペルスキーが作成したTurlaのターゲット所在地の分布を示した地図。最も多くの攻撃を受けたのはカザフスタンとロシアで、その次に中国、ベトナム、アメリカが続き、その他にもポーランド、ウクライナ、ラトビアなどの旧東側諸国やブラジル、メキシコ、アルゼンチンなどの南米、サウジアラビア、イランの中東など、世界中に被害が広がっています。


カスペルスキーの報告によると、Turlaに感染したPCにはCobra/Carbonシステムと呼ばれる高度なバックドアが仕掛けられるとのこと。「WorldCupSec」「TadjMakhal」「Wipbot」「Tadvig」などの名で知られるバックドアからスパイ組織のcommand-and-control(C&C)サーバーに接続してすることでシステムのフルコントロール権を取得。その結果、PC内のファイルを削除したり外部に送信したり、逆にファイルを送り込まれて実行されたりという被害が生じ得ます。

PCの機能を乗っ取る恐ろしい能力を持つTurlaは、「スピア型フィッシング」と「水飲み場型攻撃」という2種類の攻撃戦略を用いて感染することが分かっています。「スピア型フィッシング」とは、ターゲットに対してメールを送りつけて、添付したPDFファイルを開かせてAdobe Readerなどの脆弱性を突いてマルウェアに感染させるという手法です。


一方、もう一つの「水飲み場攻撃」では、ターゲットのPCが頻繁に閲覧するWebサイトをハッキングして、悪質なコードを埋め込むことで、ターゲットがそのサイトを閲覧する時にJavaエクスプロイトや偽のMicrosoft Security Essentioalsなどを経由してマルウェアを感染させる方法。カスペルスキーではこのようなマルウェアに感染したWebサイトを100以上確認しており、中には地方自治体のサイトまで含まれていたとのこと。また、シマンテックの調査では、スパイ組織は2012年9月以降に少なくとも84カ所の正規Webサイトに侵入しており、この中には政府機関や国際機関のWebサイトが多数含まれていることも判明しています。

極めて高い技術を使ってターゲットPCから情報を窃取しているTurlaマルウェアですが、最重要ターゲットに対する攻撃では、衛星回線を使うことで、C&Cサーバーの位置を追跡されるのを防止していることをカスペルスキーは明らかにしています。


C&Cサーバーは攻撃の要であり、その物理的な場所を特定することはスパイ組織の追跡に不可欠なところ、衛星ネット通信プロバイダーは数千平方キロメートルの範囲にまたがる複数の国や大陸をカバーする衛星用IPアドレスを利用していることから、正確な位置の特定が困難であるという性質をスパイ組織は逆手にとっているというわけです。

なお、カスペルスキーの調査では、Turlaマルウェアを利用するスパイ組織はアフリカのコンゴ、ナイジェリア、ソマリアや中東のレバノン、アラブ首長国連邦に割り当てられた衛星用IPアドレスをよく用いることが判明しています。


Turlaマルウェアを利用するサイバー攻撃で用いられた衛星用IPアドレスのWHOIS情報を元に、国とISPを分類するとこんな感じ。


カスペルスキーによると、Turlaのコーディングには英文法の誤りが多く英語を母語にした組織ではないことは明らかであるとのこと。また、システムがロシア語を意味する用語でコンパイルされていることなどから、スパイ組織はロシアを拠点にしていることを示唆しています。また、シマンテックもロシアという国名を明示するのは避けつつも、「攻撃活動のタイムスタンプはほとんどUTC(協定世界時)より4時間進んだ時間帯の標準的な業務時間内に発生している」として、ロシア組織の関与を強く示唆しています。

・関連記事
リアルタイムで全世界を舞台にしたサイバー戦争がものすごい勢いで起きている様子が分かる「IPViking Live」 - GIGAZINE

政府に国民監視用スパイウェアを販売していた会社に反撃のハッキング、400GBの内部情報がネット上に流出 - GIGAZINE

アメリカ政府職員400万人分の個人情報がサイバー攻撃で流出か、攻撃元は中国と報道 - GIGAZINE

中国によるハッキングにアメリカが報復を決意、サイバー抑止力による「第2の冷戦」到来か - GIGAZINE

シリア電子軍が世界的規模のハッキングを敢行、日本の大手サイトも被害を受ける - GIGAZINE

法執行機関がハッキングツールを使用するのは違法なのか? - GIGAZINE

日本と韓国を狙ったFlashのゼロデイ攻撃を確認、脆弱性はロシア人ハッカーがHacking Teamに販売 - GIGAZINE

北朝鮮がソニー・ピクチャーズをハッキングしたのではないかと報じられる - GIGAZINE

in ソフトウェア,   メモ, Posted by logv_to