【国家機関が背後?】ルーターを媒介にするマルウェア見つかる【2012年から活動】

1番組の途中ですがアフィサイトへの転載は禁止です:2018/03/15(木) 01:21:07.60 ID:0jpI7WHX

カスペルスキー・ラボが、国家が関与していると目される、新たなマルウェアを発見したと報告しました。「Slingshot」と名付けられたそのマルウェアは高度かつ洗練された仕掛けを備えており、約6年ものあいだ発見されることなく感染や活動を続けていたと考えられます。

Slingshotの感染経路はまだ性格には判明していません、しかし、攻撃者はSkingshotを操作してラトビアMikroTik製のルーター製品にアクセスし、そのルーターが内蔵するWindows システムのライブラリー(DLL)を悪意あるものにすり替えます。

そして、ネットワーク管理者がこのルーターから管理ツール「Winbox」をダウンロードして使用する際に、すり替えたDLLも一緒にダウンロードさせ、PCのDLLを悪意あるものへと置き換えます。こうなれば、あとはWinboxが起動されたときに、悪意あるDLLが呼び出されて動作を開始するだけです。

Slingshotの動作は2本立てで構成されており、カーネルモードで動作する「Canhadr(もしくはNDriver)」はストレージやメモリー、I/O操作といった低レベルな要素を司る機能を備え、システムをクラッシュさせることなく悪意あるコードを実行、攻撃者によるHDDやRAMへの自由なアクセスを可能とします。

もう一つの「Gollum」はユーザーモードで動作し、1500以上のユーザー関数によってスクリーンショット取得からキーロギング、ネットワーク情報の窃取、リモート操作などを維持するように動作します。

カスペルスキーはこれら2つが互いに協調動作する点や、特に悪意あるカーネルコードをクラッシュさせずに動作させるという並々ならぬ妙技を実現している点を指してSlingshotを「傑作」だと評しています。
(略)
これほどまでの精巧さを備えるマルウェアが何のために使われているのかについて、カスペルスキーはベルギーの通信事業者Belgacomに侵入するために使用されたマルウェア「Regin」を開発したとされる英国の政府通信本部(GCHQ)のような、国家機関が背後にあると推測しています。開発は英語圏で行われている可能性が高いものの、100台あまりのSlingshotの感染がアフガニスタン、イラク、ヨルダン、ケニア、リビア、トルコといった国々の政府施設に集中していることから、重大なテロを監視する目的で、オーストラリア、カナダ、ニュージーランド、英国および米国のどれかがその開発に関わっている可能性が考えられます。ただし、これは確かな情報というわけではありません。

全文はソースで

2012年から人知れず活動していたマルウェアみつかる。ルーター媒介、2つのモジュールを協調動作 - Engadget 日本版
https://japanese.engadget.com/2018/03/13/2012-2/

2番組の途中ですがアフィサイトへの転載は禁止です:2018/03/15(木) 01:25:48.26 ID:YcJ58bQD

こういう風に西側諸国製マルウェアを暴露する邪魔な存在だから
少し前にアメリカ政府が名指しでカスペの企業イメージへの攻撃しまくったんだろうな

3番組の途中ですがアフィサイトへの転載は禁止です:2018/03/15(木) 01:31:18.39 ID:6MhlUgYZ

ヒラリーがいまいち信用されないのもそのあたりじゃないかな
後ろ暗いものを感じるよ

4番組の途中ですがアフィサイトへの転載は禁止です:2018/03/15(木) 01:39:40.65 ID:wPDu1z0C

>>2
> 西側諸国製マルウェアを暴露する邪魔な存在

なるほど一理あるな。


このスレッドは過去ログです。