スパイ活動「Darkhotel」:アジアの高級ホテルを舞台に

2014年11月11日

※(2014/12/3)円グラフにキャプションを追加しました。

サイバースパイ活動は、21世紀の兵器です。一見無害そうなモバイルアプリでも、不用意なユーザーが漏らす秘密を相当数、見つけ出すことができます。ましてや、大手企業や政府組織の代表に的を絞った本格的な偵察活動であれば、なおさらです。

DH

Kaspersky Labは、「Darkhotel」(ダークホテル)と名付けられたスパイネットワークの発見を公表しました。このネットワークは、アジアの多数のホテルにて丸7年も活動を続けていました。それだけでなく、この活動にはプロフェッショナルで頭の切れる複数人物が関与しており、さまざまな手法を駆使した総合的なツールキットを作り出して被害者のコンピューターに入り込んでいました。

今回問題となっているホテルの滞在者に対する攻撃について、FBIが最初に言及したのは2012年のことでした。しかし、Darkhotelの活動に使われたマルウェア(別名Tapaoux)の出現は、2007年にさかのぼります。また、この活動を統制するC&Cサーバーのログを調べたところ、接続の記録は2009年1月1日にまでさかのぼることが明らかになりました。以上を考えると、この活動はかなりの期間にわたると見られます。

標的のPCへの潜入には、アジアにある多数の高級ホテルのWi-Fiネットワークが主に利用されました。Adobe Flashやその他著名ベンダーの製品に存在するゼロデイぜい弱性が悪用されていましたが、このようなぜい弱性を見つけるのは容易なことではありません。ここから、相当高価なサイバー兵器を購入可能なほど資金が潤沢なスポンサーが背後にいるか、ハイレベルな専門的技術を持つエージェントが関わっている、と考えられます。おそらく、その両方でしょう。

news_vir10112014_0169-253739

最も多く使われた手口は、上記のようなスパイウェアを利用したやり方ですが、攻撃者がホテルの従業員であったことをほのめかしているかのようです。また、トレント(P2P)クライアントを通じて配信される中国語のアダルト漫画の中に、トロイの木馬を仕込む方法もとられました。

このほかにも、政府関連組織および非営利団体の職員にメールを送りつける、標的型のフィッシングも使われていました。

犯罪者たちは、一般的なブラウザーに保存されたパスワードを盗むモジュールを備えた高度なキーロガーを利用

ゼロデイぜい弱性の活用以外にも数多くの事実が、関与したサイバー犯罪者が高い意識を持つことを示唆しています。彼らは、マルウェアに添付するデジタル証明書の偽造まで行っていました。感染した被害者が利用する通信チャネルの盗聴には、一般的なブラウザーに保存されたパスワードを盗むモジュールを備えた高度なキーロガーが使われました。

奇妙なことに、この犯罪者たちは非常に慎重で、検知を防ぐ手段をいくつも講じていました。まず、マルウェアには非常に長い「潜伏期間」を持たせていました。このマルウェアが最初にC&Cサーバーに接続したのは、システムに潜入してから180日後でした。マルウェアはまた、システムの言語が韓国語に切り替えられると自滅するプロトコルを持っていました。

犯罪者の活動の場は主に日本、台湾、中国でした。しかし、Kaspersky Labでは他の国々でも攻撃を検知しており、中には主な活動の場からは遠く離れた地域もありました。

Kaspersky Lab のプリンシパルセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)は、Darkhotelについて次のようにコメントしています。「過去数年の間、Darkhotelの攻撃者は、多数の企業のエグゼクティブに高度な攻撃を実行し、成功させてきました。攻撃者は優れた運用能力、数学的・暗号分析的な攻撃機能といった能力を有しており、それらによって信用ある商用ネットワークを悪用し、特定の標的を極めて正確に攻撃しています」

カスペルスキーの製品は、Darkhotelツールキットで使用される悪質プログラムとその亜種を検知し、無効にします。Darkhotel APT攻撃者の詳細については、Securelist.comをご覧ください。