カスペルスキー社のマルウェア調査チームは、国家安全保障局 (NSA) が Equation スパイ活動の武器として開発し、使用していた新しい「オペレーティング システム」のようなプラットフォームを発見した。
EquationDrug または Equestre プラットフォームは、データを吸い上げたり被害者をスパイしたりできるコンピューターを標的とする 116 個のモジュールを展開するために使用されます。
「EquationDrugは単なるトロイの木馬ではなく、特定のモジュールを標的のマシンに展開することでサイバースパイ活動を実行するためのフレームワークを含む完全なスパイ活動プラットフォームであることに留意することが重要です」とカスペルスキーの研究者は報告書の中で述べている。
「このような高度なプラットフォームを使用することが知られている他の脅威アクターとしては、Regin や Epic Turla などが挙げられます。
「フレームワーク全体のアーキテクチャは、カーネル モード コンポーネントとユーザー モード コンポーネントがカスタム メッセージ パッシング インターフェイスを介して慎重に相互作用するミニ オペレーティング システムに似ています。」
このプラットフォームは、NSAがハードディスクのファームウェアを感染させるキャンペーンの一環として現在も行われているものと思われます。旧式のEquationLaserに代わるものであり、EquationLaser自体もGrayFishプラットフォームに取って代わられています。
カスペルスキー社は、新たに特定されたマルウェアには、含まれているスパイツールの数が膨大であることから、「宇宙ステーションのように洗練されている」と述べている。
多数の実行可能ファイルを含むカスタム暗号化ファイル システムを通じて、追加のモジュールを追加できます。これらの実行可能ファイルは、ほとんどのセキュリティ ボディを混乱させます。
モジュールに関連付けられた固有識別子とコードネームのほとんどは暗号化され、難読化されています。一部のモジュールの機能は、固有の識別番号で特定できます。また、他のモジュールは、他のプラグインに依存して動作します。
各プラグインには、提供できる機能を定義する一意のIDとバージョン番号が割り当てられています。一部のプラグインは他のプラグインに依存しており、依存関係が解決されない限り動作しない可能性があります。
カスペルスキーの担当者は、存在すると推定される 116 個のモジュールのうち 30 個を発見しました。
「私たちが発見したプラグインは、おそらく攻撃者の潜在能力のほんの一部に過ぎない」と研究者らは述べている。
実行ファイルのタイムスタンプから、NSA の開発者は火曜日から金曜日にかけてプラットフォーム上で最も熱心に作業し、月曜日の開始が遅れる可能性が高いことがわかります。
ツールで検出されたモジュールには次のコードが含まれます:
- 盗難や再ルーティングを目的としたネットワークトラフィックの傍受
- 逆DNS解決(DNS PTRレコード)
- コンピュータ管理
- プロセスの開始/停止
- ドライバーとライブラリをロードする
- ファイルとディレクトリを管理する
- システム情報収集
- OSバージョンの検出
- コンピュータ名の検出
- ユーザー名の検出
- ロケール検出
- キーボードレイアウト検出
- タイムゾーン検出
- プロセスリスト
- ネットワークリソースの参照と共有の列挙とアクセス
- WMI情報収集
- キャッシュされたパスワードの収集
- プロセスやその他のシステムオブジェクトの列挙
- ウェブブラウザでのライブユーザーアクティビティの監視
- 人気の Sleuthkit フレームワークに基づく低レベルの NTFS ファイルシステム アクセス
- リムーバブルストレージドライブの監視
- パッシブ ネットワーク バックドア (生のトラフィックから Equation シェルコードを実行)
- HDDおよびSSDファームウェアの操作
- キーロギングとクリップボードの監視
- ブラウザの履歴、キャッシュされたパスワード、フォームの自動入力データの収集。
®
