電子フロンティア財団とセキュリティ企業Lookoutの調査により、世界中のAndroidモバイルとWindowsデスクトップPCから大量のデータを吸い上げるために使用されてきた有料監視ツールキット「Dark Caracal」が発見された。
Dark Caracal [PDF] は、ベイルートにあるレバノン治安総局(諜報機関)から制御されているとみられ、デバイスから数百ギガバイトの情報を収集している。Dark Caracalのバックエンドインフラは、別の国家支援型監視作戦「オペレーション・マヌル」と共有されている。EFFは、この作戦は昨年カザフスタン政府によって実行されたと主張している。
重要なのは、誰かが Dark Caracal スパイウェア プラットフォームを国家レベルの諜報機関に貸し出しているようだ、ということです。
「これは間違いなく同じインフラを使っている一つのグループです」と、EFFのサイバーセキュリティ担当ディレクター、エヴァ・ガルペリン氏は水曜日にThe Register紙に語った。「政府にこれを販売している第三者がいると考えています」
ダーク カラカルは、21 か国以上の何千ものターゲットから情報を抜き出すために使用されていると伝えられています。収集対象には、軍隊、政府、企業、活動家、ジャーナリストなどの個人文書、通話記録、音声録音、テキスト メッセージから連絡先情報、写真までが含まれます。
ダークカラカルは驚くほど広範囲に生息しています...それぞれのドットは感染した被害者の大まかな位置を示しています
EFFが2016年にサイバースヌーピングプログラム「オペレーション・マヌル」に関する報告書を公開した後、Lookoutは収集したマルウェアサンプルのデータベースを調べ、原因となったスパイウェアを追跡しました。Lookoutは、Pallasと呼ばれるAndroid向けの悪質なコードを発見しました。これはDark Caracalツールキットのコンポーネントであると思われます。
つまり、Pallas はターゲットのスマートフォンを乗っ取るために使用され、政府に貸し出されている Dark Caracal プラットフォームを通じて配布および制御されます。
Pallasをデバイスに侵入させる主な方法は、非公式ソフトウェアマーケットからWhatsAppやSignalの模倣品など、感染したアプリケーションをインストールすることです。Pallasはゼロデイ脆弱性を悪用してデバイスを乗っ取るのではなく、ユーザーを騙して罠を仕掛けたアプリをインストールさせ、悪意のあるソフトウェアに様々な権限を付与させます。こうして侵入されると、Pallasはスマートフォンのマイクから密かに音声を録音し、デバイスの位置情報を盗聴者に漏洩させ、端末に保存されているすべてのデータを盗聴者に漏洩します。
さらに、Dark Caracalプラットフォームは、新たな監視ツールを提供しています。それは、国民監視のために政府に販売されているスパイウェアパッケージ「FinFisher」の、これまで公開されていないサンプルです。これが正規に購入されたものなのか、それとも改造されたデモ版なのかは不明です。
デスクトップ版では、Dark CaracalはDelphiでコードされたトロイの木馬「Bandook」を配布します。これは以前「Operation Manul」で特定されており、Windowsシステムを乗っ取ります。標的は、正規のセキュリティ証明書で署名された感染プログラムをインストール・実行するように仕向けられます。起動すると、このソフトウェアはコマンド&コントロールサーバーからさらにマルウェアをダウンロードします。このコードはMicrosoft Word文書に埋め込まれ、マクロを使って実行される可能性もあるため、Office管理者はご注意ください。
EFFとLookoutは、Dark Caracalネットワークを運営・利用しているのが誰なのかを正確に突き止めようとしています。犯人特定がある程度確実になったら、夏に最新情報をお伝えする予定です。®
