NSAとFBI、ロシアがスパイ活動で利用というLinux向けマルウェア「Drovorub」のアドバイザリー公開
米国家安全保障局(NSA)と米連邦捜査局(FBI)が、ロシア政府とつながるハッカー組織apt28が利用しているというLinux用マルウェア「Drovorub」のセキュリティアドバイザリーを公開した。
米国家安全保障局(NSA)と米連邦捜査局(FBI)は8月13日(現地時間)、これまで公開されていなかったロシアが関与するというマルウェアに関するサイバーセキュリティアドバイザリーを公開したと発表した。アドバイザリー(リンク先はPDF)は45ページにわたって「Drovorub」(ロシア語で「木こり」という意味)と呼ばれるマルウェアの仕組みと対策について説明している。
NSAとFBIによると、ロシア軍の情報機関、参謀本部情報局(GRU)とつながりのある「Sofacy Group」(別名apt28、sandworm、x-agent、pawn storm、fancy bear、sednit)が、このLinux用に設計されたマルウェアを使ってサイバースパイ活動を行っているという。
NSAはプレスリリースで、このアドバイザリーはサイバーセキュリティミッションの重要な側面であり、同盟国側の民間企業および公共機関の意識を高め、マルウェアの検出と防止策を迅速に導入できるようにするのが目的だと説明した。
アドバイザリーによると、Drovorubは、インプラント、カーネルモジュールルートキット、ファイル転送ツール、ポート転送モジュール、コマンド&コントロール(C2)サーバが付属するマルチコンポーネントシステムで、標的PCに仕込まれると、そのPCでのファイルのダウンロードとアップロード、任意のコマンドの実行、ネットワーク上の他のホストへのトラフィックのポート転送、検出を回避するための隠ぺいツールの実装などを行う。
今のところGRU以外の組織がDrovorubを使った形跡はないが、仕組みが公開された以上、すべての組織がこのマルウェアに対する防御対策を取るべきだとしている。
関連記事
- 「ロシアが新型コロナワクチン情報狙い大規模サイバー攻撃」と英米加が非難
英政府が、ロシアの諜報機関のサイバー諜報グループAPT 29が、新型コロナのワクチン開発情報を盗む目的で世界の研究機関や大学などに対し、サイバー攻撃を仕掛けていると警告し、ロシアに停止を求めた。 - 米司法省、中国人2人を新型コロナ関連情報窃盗目的のサイバー攻撃で起訴
米司法省が、中国政府と繋がりがあるとみている2人の中国人ハッカーを起訴した。新型コロナウイルス感染症対策ワクチン関連情報などを盗んだとしている。 - ジョージアを狙ったサイバー攻撃、ロシア軍の情報機関GRUが関与と米英が断定
ジョージア政府や企業などのWebサイトが改ざんされ、国営放送局のサービスにも支障が出たサイバー攻撃について、ロシア軍参謀本部情報局(GRU)が関与したと米英が断定した。 - 米司法省、ロシアの情報員7人をサイバー攻撃関与で起訴
米司法省が、ロシア連邦軍参謀本部情報総局(GRU)に所属する情報員7人を、国際的なサイバー攻撃と虚偽情報の操作を行ったとして起訴した。そのうち3人は2月に米大統領選介入関連で起訴された13人と重なる。 - 米FBI、マルウェア「VPNFilter」に感染したデバイスのネットワークを分断
FBIは関係機関と連携して、マルウェア「VPNFilter」の制御に使われていたドメインを差し押さえ、FBIがコントロールするサーバにトラフィックをリダイレクトさせる措置を講じた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.