リモート管理ツールをうたう「NetWire」をマルウェアと断定するべくFBIが取った方法とは?
連邦捜査局(FBI)が、リモート管理ツールをうたい販売されていた「NetWire」というマルウェアの販売に利用されていたドメインを押収したことを発表しました。NetWireはリモート管理ツールとして販売されていたのですが、FBIはこれをマルウェアと断定し、国内外の捜査機関と協力して関係者の逮捕に踏み切っています。
Central District of California | Federal Authorities Seize Internet Domain Selling Malware Used to Illegally Control and Steal Data from Victims’ Computers | United States Department of Justice
https://www.justice.gov/usao-cdca/pr/federal-authorities-seize-internet-domain-selling-malware-used-illegally-control-and
Ravnateljstvo policije - U sklopu međunarodne policijske akcije hrvatska policija uhitila hakera s područja Zagrebačke županije
https://policija.gov.hr/vijesti/u-sklopu-medjunarodne-policijske-akcije-hrvatska-policija-uhitila-hakera-s-podrucja-zagrebacke-zupanije/6944
ロサンゼルスの連邦当局が、感染したコンピューターを制御してさまざまな情報を盗むマルウェアを販売するために使用されたインターネットドメインを押収したことを、アメリカ司法省の公式サイト上で発表しました。
2023年3月7日、連邦当局は3月3日にアメリカの治安判事によって承認された押収令状をもとに、「www.worldwiredlabs.com」というドメインを押収しました。このドメインは「NetWire」と呼ばれるリモートアクセス型のトロイの木馬を販売するために利用されていたことが明らかになっています。
記事作成時点では「worldwiredlabs.com」にアクセスすると、「このウェブサイトは押収されました」という表記と共に、アメリカ司法省およびFBIのロゴが上部に、下部には欧州連合の警察機関であるユーロポールやクロアチア警察、チューリッヒ州警察、オーストラリア連邦警察などのロゴが並んでいます。
Domain Seized by Law Enforcement
http://www.worldwiredlabs.com/
ロサンゼルスの裁判所に提出された文書では、「トロイの木馬は隠れた監視を可能にするマルウェアの一種であり、被害者の知らないうちに、あるいは被害者の許可なし管理制御のためのバックドアと、コンピューターへの自由で無許可なリモートアクセスを可能にします」と説明されています。
連邦当局によると、3月の第2週に行われた法執行措置の一環として、クロアチア警察は3月7日にウェブサイトの管理者とされるクロアチア人の逮捕に踏み切りました。この人物はクロアチア警察により起訴される予定です。さらに、チューリッヒ州警察も同日にNetWireのインフラストラクチャーをホストしていたコンピューターサーバーを押収しています。
FBIがNetWireの配信サイトである「www.worldwiredlabs.com」について調査を始めたのは、2020年のこと。押収令状を裏付ける宣誓供述書によると、FBIの潜入捜査官は「www.worldwiredlabs.com」でアカウントを作成し、サブスクリプションプランの料金を支払い、「製品のビルダーツールを使用して、NetWireのカスタマイズされたインスタンスを構築することに成功した」そうです。
「www.worldwiredlabs.com」では、NetWireを「コンピューターインフラストラクチャを維持するための正当なビジネスツール」と宣伝していました。しかし、宣誓供述書には「NetWireは悪意のある目的で使用されるマルウェアであり、ソフトウェアはハッキング関連のフォーラムで宣伝されており、多数のサイバーセキュリティ企業や政府機関がNetWireのインスタンスを文書化した」と記されています。
連邦当局は、今回の発表について「本日の発表は、国境を超えて活動するサイバー犯罪者と戦うために必要なイノベーションと柔軟性のたまものです。我々はコミュニティをサイバー脅威から守るために、国際的な同盟関係を築き続けます。犯罪者は世界規模でNetWireを使用しており、我々は世界中の被害者に計り知れない損害を与えてきたインフラストラクチャの解体に成功しています」と述べました。
さらに、FBIのロサンゼルスオフィスも「今回の事件は、クロアチアやその他のグローバルパートナーとアメリカの法執行における非常に強力な協力関係のたまものです」と述べています。
この一件について、海外メディアのTechCrunchは「FBIがどのようにしてNetWireがマルウェアであると証明したのか」と報じました。
How the FBI proved a remote admin tool was actually malware | TechCrunch
https://techcrunch.com/2023/03/09/how-the-fbi-proved-a-remote-admin-tool-was-actually-malware/
「www.worldwiredlabs.com」をインターネットアーカイブのWayback Machineでチェックすると、サイト上ではNetWireについて「企業がコンピューターインフラストラクチャの維持に関連するさまざまなタスクを完了するのに役立つよう特別に設計されています。これはすべてのリモートコンピューターのリストを保持し、それらのステータスとインベントリを監視し、メンテナンス目的でそれらのいずれかに接続できる単一の『コマンドセンター』として機能します」と説明されています。
しかし、TechCrunchは連邦検事局の広報担当者からドメイン押収時に使用された令状のコピーを入手しており、この令状にはNetWireをマルウェアと判断した詳細が記されているとのこと。
令状にはFBIがNetWire捜査のために立ち上げたタスクフォースの一員により書かれた宣誓供述書が含まれています。これによると、2020年10月5日から2021年1月12日にかけてタスクフォースのメンバーはNetWireのライセンスを購入・ダウンロードし、FBIロサンゼルスオフィスのコンピューターサイエンティストにNetWireのデータを提供したそうです。
機能をテストするため、FBIのコンピューターサイエンティストはテスト用のマシン上でNetWireのビルダーツールを利用して、「NetWireのカスタマイズされたインスタンス」を構築し、FBIのエージェントが制御するWindowsの仮想マシンにNetWireをインストール。そして、NetWireを使って任意の端末にリモートからアクセスできるようになるかを実験しました。
テストの際、NetWireはFBIがテストとしてNetWireを利用して攻撃した(リモートからアクセスしようとした)マシンの所有権や運営権、財産権を保持しているか確認してくることはなかった模様。つまり、FBIは「NetWireユーザーが自分の所有あるいは管理するコンピューター上で、合法的な目的でNetWireを利用しているかどうかを確認することはなかった」と結論づけたわけです。
なお、FBIのコンピューターサイエンティストはNetWireをインストールした仮想マシンを使い、リモートから任意のマシンでファイルへのリモートアクセス、Windows上のメモ帳アプリなどの閲覧・強制停止、保存されているパスワードの窃取、ユーザーのキーストロークの記録、プロンプトやシェルによるコマンドの実行、スクリーンショットの撮影などをテストしました。
FBIロサンゼルスのコンピューターサイエンティストは上記の機能をテストした際に、リモートからアクセスされた側の端末には一切通知や警告が表示されなかったと強調。そのため、タスクフォースの一員は宣誓供述書に「ユーザーに代わって特定のアクションを実行するために、通常ユーザーからの同意が必要とされる正当なリモートアクセスツールとは反するものである」とNetWireを評しています。
以下は、TechCrunchが連邦検事局から提供してもらった押収令状のコピー。
Netwire - DOJ Public domain seizure warrant - DocumentCloud
https://www.documentcloud.org/documents/23700957-netwire-doj-public-domain-seizure-warrant
カリフォルニア州中部地区連邦検事局の広報担当者であるキアラン・マクエボイ氏は、TechCrunchに対して「令状と添付された宣誓供述書以外にこの事件に関する公文書を把握していないため、NetWireを販売していたウェブサイトの閉鎖作業に関する情報は、その所有者の身元を含めて現時点では限られています」と言及。
司法省はクロアチア警察がウェブサイトの運営に携わっていた人物を逮捕したとしていますが、容疑者の名前は明らかにしていません。
しかし、サイバーセキュリティジャーナリストのブライアン・クレブス氏は、アクセス可能なDNSレコードやWHOISのウェブサイト登録データ、公的なデータベースリークで露出したデータをインデックス化するサービスが提供する情報、さらにはGoogle+のプロフィールなどを用いて、「www.worldwiredlabs.com」を運営していた人物の名前が「Mario Zanko」であると特定しています。
Who’s Behind the NetWire Remote Access Trojan? – Krebs on Security
https://krebsonsecurity.com/2023/03/whos-behind-the-netwire-remote-access-trojan/
・関連記事
「ChatGPTを使ってマルウェアを作成するサービス」をハッカーが販売中 - GIGAZINE
GitHubでホストされていた「Windowsのロゴ画像」にマルウェアを隠して感染させるという恐るべき手口が発覚 - GIGAZINE
多数のGitHubリポジトリでマルウェアを仕込んだ「セキュリティ検証用コード」が発見される、なんと10個に1個は悪意のあるリポジトリ - GIGAZINE
ユーザーの信頼を得た後に「アップデートで徐々にマルウェアを配信する」という手法をとるアプリが発見される - GIGAZINE
中国メーカーの超低価格スマホが出荷された時点でマルウェアに感染していたことが判明 - GIGAZINE
開発者をターゲットにしたマルウェア「W4SP」がPyPIの悪意あるパッケージに仕込まれていることが明らかに - GIGAZINE
・関連コンテンツ