TheSAS2015
Kaspersky Labのリサーチャーは、APT集団「Equation」を発見しました。Equationは、APTの世界におけるデス・スターとでも言うべき「APTの母艦」であると考えられます。Equationに関する調査は、Kaspersky Security Analyst Summit(SAS)にて2月15日に発表されました。
何が起きているのか
EquationはAPT(Advanced Persistent Threat)であり、すでに20年にわたって活動している可能性があります。Equationが使用するメインのC&Cサーバー(指令サーバー)は2001年8月に遡りますが、一部の指令サーバーは1996年に登録されたと見られます。
2001年以来、Equationは世界中で積極的に感染を広げ、被害数は数千規模、あるいは数万規模にも達する可能性があります。標的となっているのは以下の業種です。
- 政府・外交機関
- 通信
- 航空宇宙
- エネルギー
- 原子力研究
- 石油・ガス
- 軍事機関
- ナノテクノロジー
- イスラム活動家・研究者
- マスメディア
- 交通機関
- 金融機関
- 暗号化技術の開発企業
Equationは強力な各種「インプラント」(同集団は自らが使用するトロイの木馬をこの名で呼んでいたようです)を利用しますが、現在のところ知られているのはそのうちのごく一部です。
驚くべき能力
Equationが持つ「武器」のうち最も強力なのは、おそらく、「nls_933w.dll」という名で知られる謎のモジュールでしょう。このモジュールは、世界の主要なハードディスクドライブのファームウェアを再プログラム可能とする能力を持っています。
これは驚くべき技術的偉業であり、この集団の並外れた能力を明瞭に示しています。
ワーム「Fanny」
Equation Groupによる攻撃の中でも特に際立つのは「Fanny」ワームです。Kaspersky Labのシステムが初めてFannyを観測してブロックしたのは、2008年12月のことでした。Fannyは、当時まだ知られていなかった2つのゼロデイ脆弱性を利用していました。
これらの脆弱性を、Stuxnetワームも使用していました。逆に、FannyではStuxnet で使われたLNKの脆弱性とUSBメモリを媒介とする手法が使われていました。FannyはMS09-025で修正された脆弱性を利用して権限昇格を図っていましたが、この脆弱性は2009年のStuxnet初期バージョンのひとつでも使われていました。
FannyとStuxnetの関係性
2008年に初めて報告されたFannyワームは、Stuxnetが利用する2年前にこの2つのゼロデイ脆弱性を利用しており、これら脆弱性の存在は2010年まで知られずにいました。Equation Groupは、Stuxnetの一団よりも早くから、これら脆弱性にアクセスしていたと見受けられます。
当社リサーチャーは次のように述べています。「彼ら(Equation Group)はStuxnetやFlameの一団などその他の強力な集団と、常に彼ら自身が上の立場として、何年にもわたって交流してきました。他の集団より早くこれらの脆弱性にアクセスしていたことから、そのように考えられます」
Kaspersky LabはEquation APTに関するデータを公開しています。この集団に関する概要と同集団が使用するツールに関しては、Securelistの記事(英語)をご覧ください。Securelistでは、Fannyに関する調査(英語)についても記事を公開しています。
ヒント