ファイアウォールやネットワーク監視サービス、ウイルス対策ソフトウェアでは不十分な場合、電力網や給水ポンプなどの機密業務を制御するコンピュータを守る確実な方法が常に一つある:インターネットから完全に切り離すことだ。 しかし、WikiLeaks が 6 月 22 日に公開した新しい文書によると、そのような極端な対策をとっても、意欲と資金力のあるハッカーから安全なコンピューターはないそうです。

この 11 文書には「ブルータル カンガルー」というソフトウェアの一部が記載されており、同じ組織内のインターネット接続ネットワークをターゲットにして孤立し「エアギャップ」したコンピューターに潜入できるように構築されている一連のツール群です。 これは、WikiLeaks が米国中央情報局 (CIA) のものとする無数のハッキング ツールを説明する、一連の流出文書「Vault 7」の最新の公開文書です。

Brutal Kangaroo は、攻撃者からエアギャップされたコンピューターまでのデジタル パスを作成して、それを戻すことで機能します。 このプロセスは、ハッカーが、標的となる組織や施設のインターネット接続されたコンピュータにリモートで感染するところから始まります。 文書では「プライマリ・ホスト」と呼ばれる最初のコンピュータに感染すると、ブルータル・カンガルーは待機します。 誰かがUSBメモリーを最初のコンピューターに差し込むまで、他のシステムには広がりません。

WikiLeaks
“Emotional Simian” は Brutal Kangaroo 文書に記載されたマルウェアをパッケージ化するツール

一旦誰かが接続すると、サム ドライブにメーカーとモデル特有のマルウェアがコピーされ、Microsoft Windows でデスクトップのアイコンを表示させるために使う修正 LNK ファイルや実行プログラムを含む DLL ファイルに隠されています。 この時点から、Brutal Kangarooは、サム・ドライブが接続されているすべてのシステムにさらなるマルウェアを拡散します。 そして、これらのシステムは、それらに接続されているすべてのドライブに感染し、さらに、最終的には、これらのドライブの 1 つがエアギャップされたコンピューターに接続されるという考え方です。

機密性の高いコンピューターを隔離するという概念の大きな欠陥は、誰もファイルをコピーしたり削除する必要がなければ、コンピューターの周囲のエアギャップを維持することができるということです。 しかし、特殊なシステムであっても、常にアップデートやパッチをインストールし、情報を送り込んだり引き出したりする必要があります。 外付けハードディスクがエアギャップを破る格好のターゲットであることは、IT専門家の間では常識であり、IT専門家が常駐している施設では対策がとられていると思われる。 しかし、これらの予防策は、不明瞭な脆弱性を悪用することで覆されることがあり、単にミスが起こることもあります。

Brutal Kangaroo に感染したサムドライブをエアギャップのあるコンピューターに接続すると、すぐにそのコンピューターにコピーされるのです。 ユーザーがそのコンピュータで感染したドライブの内容を閲覧しようとすると、コンピュータからデータを収集する追加のマルウェアが起動します。 ユーザーがドライブを接続したり切断したりするコンピュータに接続し続けると、リレーが形成され、最終的にハッカーに戻る遅い経路が形成され、すべてが計画通りに進むと、エアギャップされたコンピュータからコピーされたデータが配信されることになります。 Stuxnetは、イランの核施設の遠心分離機を制御する空中に設置されたコンピュータを標的とするために特別に構築されたものです。 Wired』誌の2014年のレポートによると、その際の攻撃者は、核施設内のインターネットに接続されたネットワークがなかったためと思われるが、その代わりに外部の5つの組織をターゲットにした。 しかし、そこからの攻撃は、ブルータル・カンガルーの文書に書かれている方法とほぼ同じように機能した。 Stuxnet もまた、USB メモリを介して広がり、LNK ファイルに隠れ、攻撃者に情報を送り返すためのリレーを作成しようとしました。

Stuxnet は、あまりにも強力で、作成者が望んでいたよりもはるかに多くのコンピューターに広がったため、最終的にセキュリティ研究者によって発見されました。 Brutal Kangaroo の開発者はそれを教訓にしたようで、特定の要因が満たされた場合に拡散を阻止するいくつかのチェックを文書に記述しています。 新しいコンピューターに着弾するたびに、ブルータルカンガルーはまずそのコンピューターの日付をチェックする。 もしマルウェアにハードコードされた日付を過ぎていれば、「プログラムは直ちに終了する」と文書に記されている。 さらに、ある種の「ブラックリスト」をチェックし、コンピュータがそのリストに載っていれば終了する。 また、Brutal Kangaroo を「コンピュータが以前に見られたことがある場合」終了させます。

Brutal Kangaroo 文書は、CIA のハッカーが何を行えると言われているかについて明らかにした最新のものにすぎません。 これまでの Vault 7 では、CIA がスマート TV を盗聴装置に変えたり、さまざまなデスクトップやモバイルのオペレーティングシステムをハッキングしたり、家庭用無線 LAN ルーターに侵入してインターネットトラフィックを監視したりできることを示唆する文書が公開されています。 4月、シマンテックは、リリースに記載されているいくつかのツールを、2014年以来追跡してきた侵入ソフトウェアと照合しました。 そのマルウェアは、2011年以来、16カ国で少なくとも40のターゲットに感染しており、2007年まで遡って活動していた可能性があると、同社はブログ投稿で述べています。

CIAは文書やツールの所有権を確認していませんが、マザーボードが昨年3月に指摘したように、米国当局は文書に機密情報が含まれていると法廷で述べており、リークが事実上本物であることを示唆しました。

コメントを残す

メールアドレスが公開されることはありません。