中国のWinntiグループの分派として活動するハッカー集団は、オープンソース化することで10年以上もの間、発見されずにいた。
BlackBerry のレポートでは、実際には国家の支援を受けていると考えられる 5 つの小規模なハッカー集団の集まりであるこのグループが、Winnti をきっかけに結成され、何年もの間 Linux サーバー、さらには Windows Server ボックスやモバイル デバイスを悪用してきた経緯が説明されている。
「この報告書で調査されたAPTグループは、従来、さまざまな目的を追求し、幅広い標的に焦点を当ててきました」とブラックベリーは指摘している。
中国のWinntiハッカー(らしい):金は忘れて、政治的に香港の学生をターゲットにして抗議活動の情報を得よう
続きを読む
しかし、特に Linux プラットフォームをターゲットとする場合には、これらのグループ間にかなりの程度の調整があることが観察されており、大規模な Linux ディストリビューションを持つ組織は、これらのグループのいずれに対してもターゲット セットの外にあると想定すべきではないと評価されています。
2013年に研究者らによって初めて記録されたWinntiハッキング活動は、2009年まで遡ると考えられている。BlackBerryがWinntiハッキング組織の「分派」と表現するこれらのグループは、ほぼ同じくらいの期間活動しており、同様の戦術を用いている。
BlackBerryは、この攻撃が長らく気づかれなかった理由の一つは、Linuxサーバーを標的としていたことにあると考えている。ハッカーたちは、3種類のバックドア、2種類のルートキット、そしてオープンソースサーバーを対象に、標的ごとに追加のルートキットを構築できる2種類のビルドツールを使用しているとみられている。
これに加えて、コマンド&コントロールツールと、侵害されたLinuxサーバーおよびデバイスからなる「大規模ボットネット」と呼ばれるものも存在します。マルウェアの一部は2012年から使用されていました。
「ブラックベリーが観測した攻撃では、オープンLinuxプラットフォームによって、中国の攻撃者が非常に複雑かつ特殊なバックドア、カーネルルートキット、オンラインビルド環境を開発することができ、その結果、検出がより困難になるように特別に設計されたツールセットが生まれた」と報告書は指摘している。
「マルウェアの設計に固有の低い検出率にさらに拍車をかけているのが、現在市場で入手可能な Linux 向けマルウェア検出ソリューションのカバレッジ品質と機能の相対的な不足です。」
Linux サーバーを狙うと、攻撃が成功した場合に大量のデータ キャッシュが得られるという追加の利点もあります。
「この新しいLinuxマルウェアツールセットは、この報告書以前には検出されず、公に文書化されることもなく、過去10年間の大部分にわたって出回っていたという事実は、影響を受ける組織の数が膨大で、感染期間が長期にわたる可能性が非常に高いことを示しています」とBlackBerryは述べています。®
