Angler エクスプロイト キットはほぼ消滅しましたが、その理由を知っている人は誰も語っていません。
Anglerは、市場で最も強力で人気の高いエクスプロイトキットでした。新たな脆弱性を迅速に統合することで、Flash、Java、Silverlightに対するゼロデイ攻撃を可能にしました。また、ファイルレス感染やMicrosoftの定評あるセキュリティツールEMETの回避など、複雑な難読化技術を駆使していました。
当時のピーク時には、作成者はエクスプロイトキット感染全体の実に40%を占め、約10万のウェブサイトと数千万人のユーザーを侵害し、年間約3,400万ドルの損害を与えていた。
2年前、このマルウェアによる感染は全体のわずか17%を占めていた。
しかし、6月以降、アングラーはほとんど目撃されなくなった。
諜報機関は様々な説を唱えている。作成者はユーロポールが仕掛けた秘密作戦で逮捕されたのかもしれない。あるいは、ロシアの工作員が彼らを捕まえて脅迫し、中には黒海に1、2本落としたという説もある。
巨人の墜落。画像:Cyphort。
有力な説は、ロシア当局がAnglerの活動を停止した6月に、約50人のハッカーを一斉に逮捕したというものです。これは、この種の捜査としては最大規模のものとなります。逮捕されたハッカーの中には、トロイの木馬Lurkに関与していたとみられる人物もいます。
Cisco Talos の研究員 Nick Biasini 氏は、約 125 のコマンド&コントロールドメインの調査の一環として、Angler と Lurk を登録した人物の間に関連性があることを発見しました。7 月に報じたように、当局は一石二鳥の成果を挙げた可能性があると考えられています。
しかし、アングラーの運命については確認されていない。
ユーロポールは、 The Registerの質問に対し、通信を停止する前に、いくぶん奇妙な言葉で、EC3 サイバーユニットの傘下にあるアングラーオペレーターを逮捕する作戦を否定した。
Anglerエクスプロイトキットの活動。画像:F-Secure
ロシア内務省とFSBは、この記者のコメント要請に対して沈黙を守っている。
アングラー氏の死亡以来、レジスター紙が連絡を取った世界中の評判の高い民間諜報員12名も、何が起きているのか説明できないでいる。
6月の大規模な逮捕により、ロシアのサイバー犯罪慣行を破り、地元の銀行に侵入したトロイの木馬グループ「Lurk」のメンバーが逮捕された。
https://www.youtube.com/watch?v=087ErZBXEJI
YouTube動画には、ルーク集団の襲撃を撮影したロシア警察の映像が映っている。
そうすることはロシアの法執行機関の怒りを買うことになるだろうと広く考えられており、今ではそれが証明されているため、多くのマルウェア作成者は .ru ドメインとロシア語を使用するように設定されたコンピュータを除外するようになった。
Malwarebytes の主任インテリジェンスアナリストである Jérôme Segura 氏は、6 月に初めて Angler の終焉を報告し、その当時、Angler は拡散と洗練度の点でピークに達していたと本誌の特派員に語っていました。
LurkとAnglerの関連性。画像:Cisco Talos。
LurkとAnglerの関連性。画像:Cisco Talos。
「Lurkトロイの木馬などの法執行機関の行動とのタイミングは興味深いが、Anglerで実際に何が起こったのかはほとんどわかっていない」とセグラ氏はThe Registerに語った。
「アングラーは、他の企業にはない、エクスプロイトの質と新鮮さという点で大きなリードを持っていました。」
モスクワで6年間サイバー犯罪捜査官を務めたカスペルスキー社の捜査責任者ルスラン・ストヤノフ氏は、アングラーもラークも共謀したと考えている。
「Lurkグループの活動を調査する中で、グループのメンバーがAnglerエクスプロイトキットを開発・サポートしていたことを示す技術的な手がかりを複数発見しました」と彼はメールで述べている。「Anglerの背後にあるITインフラは、金融攻撃に利用されたLurkボットネットのインフラと密接に関連していることが分かりました。」
ストヤノフ氏は、Angler は Lurk の副業であり、所有者がそれを他の犯罪グループに貸し出し、その結果、さまざまなマルウェアの亜種がユーザーに感染していたと示唆している。
逮捕時のドミトリー・フェドトフ氏。
Cyphortマルウェアの調査員ニック・ビロゴルスキー氏も、Lurkの逮捕時期がエクスプロイトキットの終焉の理由として有力な説明になると考えている。「Lurkは2015年から2016年にかけて着実に増加していたが、6月に突然停止した」と、ビロゴルスキー氏は先月行われたエクスプロイトキットに関するセキュリティカンファレンスのストリーミング配信で述べた。「これらの逮捕がAnglerグループに影響を与えたか、彼らを怖がらせて(活動を)停止させたという説もあるが…あくまで推測の域を出ず、Anglerがなぜ活動を停止したのかは誰も確信を持っていない」
モスクワからはアングラーの運命についてまだ何も発表されていないが、沈黙は依然として何かを物語っている。モスクワの機関を含む連邦法執行機関は、通常サイバー犯罪者を報道陣の前にさらすことに熱心であるが、世界で最も被害を与えたハッカーの逮捕の可能性は報道されていない。
より穏やかな海
Angler は、悪名高い Black Hole エクスプロイトキットの作者である Dmitry Fedotov が 2013 年に逮捕されたことで生じた空白期間に注目を集めました。
Neutrino も同様にその空白を埋めて、70 種類ものエクスプロイト キットの市場を独占し、その月額提示価格を 3,500 ドルから 7,000 ドルへと急速に倍増させました。
ビロゴルスキー氏は、以前Anglerを配信していたウェブドメインがオンラインのままで、Neutrinoを悪用する攻撃に切り替えたことを発見した。このエクスプロイトキットとそのライバルは、新たな脆弱性を悪用しようと躍起になり、大規模なマルバタイジングやランサムウェア攻撃キャンペーンを展開している。
しかしセグラ氏は、ブラックハットが Angler の影でひしめき合う中、エクスプロイトキットの状況は奇妙な活動パターンを伴い「奇妙な状態」のままであると述べている。
「Anglerの消滅以来、他のエクスプロイトキットは、洗練されたエクスプロイトやペイロード配信メカニズムでその穴を埋めることができていません」とセグラ氏は語る。「マルウェア攻撃さえも減速しており、これは非常に不可解です。単に小康状態にあるだけかもしれませんし、別のエクスプロイトキットが登場してその座を奪っても驚きません。」®
