Kaspersky Labの調査分析チーム(GReAT)は2月20日、技術の複雑さと洗練の度合いにおいて既知のすべての組織を上回り、約20年近くも活動中の「Equation Group(イクエーション グループ)」を発見したと発表した。
|
「Equation group」マルウェア タイムライン |
同社によると、このグループのあらゆる活動は、ほかの犯罪組織と大きく異なるという。開発が非常に困難で多額の費用がかかるツールを使用し、極めて専門性の高い手段によって攻撃活動を隠蔽。従来型のスパイ手法を用いて標的に悪意あるペイロードを配信している。
また、非常に強力なトロイの木馬を用いて標的への感染を企ており、Kaspersky Labが確認しているだけでも「EquationLaser」「EquationDrug」などの複数のマルウェアが確認されており、ほかにも存在するのは確実と見られている。
GReATが復元し解析した結果から、同グループが利用する複数のモジュールは、世界の主要なHDDのファームウェアを再プログラミングすることが判明。
おそらく同グループのサイバー兵器の中で最も強力なツールであり、HDD自体を感染させる初のマルウェアと見られ、このツールにより、マルウェアの駆除ならびに削除が極めて困難になっている。また、HDD内に不可視で削除も不可能な領域を作成し、窃取した情報を攻撃者が後から回収できるようにこの領域に保存しているという。
同グループのサイバー兵器の中で特に際立っている「Fanny」ワームの主な目的は、隔離されたネットワークのマッピングで、通信にはUSBメモリーとC&Cを組み合わせたユニークな手法が用いられている。
さらに、攻撃者が標的を感染させる時、一般的なWebからの手法のみならず現実世界の「物」にトロイの木馬を仕込む手法も用いている。例えば、米国ヒューストンで開催された科学会議の出席者が標的になったケースでは、出席者の一部が帰宅後にCD-ROMで受け取ったCD-ROMにEquation Groupの「DoubleFantasy」が仕込まれていた。
同グループには、感染段階で一度に10のエクスプロイトを使用する能力があるが、Kaspersky Labではそのうち3つしか使われていないことを確認。1つめのエクスプロイトが失敗した場合に2つめが使用され、それも失敗した場合に3つめが使用され、3つすべてが失敗した場合は、そのシステムには感染しないという。
