ロシアの軍事マルウェアネットワークが「自爆コマンド」で壊滅、FBIのオペレーション・メデューサの成功によって

ロシア連邦保安庁(FSB)が50カ国以上を標的に展開していたマルウェアネットワーク「Snake」が、連邦捜査局(FBI)が主導する作戦「オペレーション・メデューサ」によって壊滅に追い込まれました。FBIは「PERSEUS(ペルセウス：メデューサを倒したギリシャ神話の英雄)」と名付けたSnake対抗ツールを開発し、Snakeに自爆コマンドを実行させることに成功したとのことです。

Justice Department Announces Court-Authorized Disruption of Snake Malware Network Controlled by Russia’s Federal Security Service | OPA | Department of Justice
https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-snake-malware-network-controlled

U.S. Agencies and Allies Partner to Identify Russian Snake Malware Infrastructure Worldwide > National Security Agency/Central Security Service > Press Release View
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3389044/us-agencies-and-allies-partner-to-identify-russian-snake-malware-infrastructure/

FSBが展開していたマルウェアネットワーク「Snake」は2004年頃から活動を始めており、世界中のコンピュータに感染してWindowsやmacOS、Linux間で相互運用可能なP2Pネットワークを形成していました。報告書によると、SnakeはFSBが保有するスパイ活動ツールの中でも最も洗練されたもので、「複雑な設計なのにバグが非常に少ない」「ウィルス対策ツールでの検出が困難」といった特徴を備えていたとのこと。

FSBはSnakeを用いて「NATO加盟国間の外交的通信」などにアクセスしていました。しかし、Snakeというツール自体は優れていたものの、Snakeの運用ミスによって追跡につながる足掛かりが残る場合もあったとのこと。アメリカやイギリス、オーストラリア、カナダ、ニュージーランドといった「ファイブ・アイズ」構成国の情報機関はインターネット上に残されたSnake運用ミスによる痕跡を追跡し、Snakeの技術的詳細やSnakeが潜んでいるコンピュータを特定しました。

FBIはSnakeの分析結果をもとに「Snakeが潜んでいるコンピュータとの通信を確立し、コンピュータに影響を与えることなくSnakeに『自身の重要コンポーネントを上書きするコマンド』を発行させるツール」を開発しました。「PERSEUS」と名付けられたこのツールは期待通りに動作し、Snakeを無力化することに成功したとのこと。

FBIによると、Snakeの無効化には成功したものの「攻撃者がコンピュータに仕掛けたSnake以外の攻撃ツール」の検索や削除は実行されなかったとのこと。このため、FBIはSnakeの被害者に対して被害から身を守るための追加の措置を取るように求めています。

なお、Snakeの技術的詳細はファイブ・アイズ構成国が共同発表した以下のセキュリティ勧告にまとめられています。

Hunting Russian Intelligence “Snake” Malware | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a