ITmedia NEWS > セキュリティ >
速報
» 2020年08月14日 14時45分 公開

NSAとFBI、ロシアがスパイ活動で利用というLinux向けマルウェア「Drovorub」のアドバイザリー公開

米国家安全保障局(NSA)と米連邦捜査局(FBI)が、ロシア政府とつながるハッカー組織apt28が利用しているというLinux用マルウェア「Drovorub」のセキュリティアドバイザリーを公開した。

[ITmedia]

 米国家安全保障局(NSA)と米連邦捜査局(FBI)は8月13日(現地時間)、これまで公開されていなかったロシアが関与するというマルウェアに関するサイバーセキュリティアドバイザリーを公開したと発表した。アドバイザリー(リンク先はPDF)は45ページにわたって「Drovorub」(ロシア語で「木こり」という意味)と呼ばれるマルウェアの仕組みと対策について説明している。

 drovo 1

 NSAとFBIによると、ロシア軍の情報機関、参謀本部情報局(GRU)とつながりのある「Sofacy Group」(別名apt28、sandworm、x-agent、pawn storm、fancy bear、sednit)が、このLinux用に設計されたマルウェアを使ってサイバースパイ活動を行っているという。

 NSAはプレスリリースで、このアドバイザリーはサイバーセキュリティミッションの重要な側面であり、同盟国側の民間企業および公共機関の意識を高め、マルウェアの検出と防止策を迅速に導入できるようにするのが目的だと説明した。

 アドバイザリーによると、Drovorubは、インプラント、カーネルモジュールルートキット、ファイル転送ツール、ポート転送モジュール、コマンド&コントロール(C2)サーバが付属するマルチコンポーネントシステムで、標的PCに仕込まれると、そのPCでのファイルのダウンロードとアップロード、任意のコマンドの実行、ネットワーク上の他のホストへのトラフィックのポート転送、検出を回避するための隠ぺいツールの実装などを行う。

 Drovorub Drovorubのしくみ

 今のところGRU以外の組織がDrovorubを使った形跡はないが、仕組みが公開された以上、すべての組織がこのマルウェアに対する防御対策を取るべきだとしている。

Copyright © ITmedia, Inc. All Rights Reserved.