Tutorials Brawte nfaq 0 Comments

あなたのハードドライブは何年もNSAのスパイウェアでいっぱいだった

Table of Contents

あなたのハードドライブは何年もNSAのスパイウェアでいっぱいだった

米国国家安全保障局(NSA)は、少なくとも14年前、おそらくは20年前に遡るスタックスネットと同等に評価される攻撃で、ハードディスクのファームウェアにスパイウェアを感染させたと、カスペルスキー研究所の分析で明らかになった。

この攻撃により、30 か国以上の通信プロバイダー、政府、軍隊、公共事業、マスメディア組織などのおそらく数万台の Windows コンピューターが感染しました。

カスペルスキーの研究者によると、同機関はシーゲイト、ウエスタンデジタル、IBM、東芝、サムスン、マックストアなど、12社以上の大手ブランドのハードドライブファームウェアに侵入したとされている。これはあり得ない話ではない。ディスクコントローラのファームウェアにカスタムコードをハッキングする行為が実証されているのだ。

ロイター通信は月曜日、NSAで以前働いていた情報筋が、同機関がドライブのファームウェアに侵入したことを確認したと報じた。カスペル​​スキーはスパイ集団の足元に隠れているわけではない。

カスペルスキーの分析によれば、NSA は、nls_933w.dll としてのみ知られる、マシンの消去後も存続して標的のシステムに再感染する能力を持つマルウェアをハードディスクのファームウェアに感染させることで、突破口を開いたという。

感染国

研究者らは、「The Equation Group」と呼ばれる攻撃者がファームウェアのソースコードにアクセスし、感染したマシンに対する完全なリモートアクセス制御を、高価値な標的に対してのみ行使したと述べた。

方程式マルウェア

カスペルスキーの幹部は勧告の中で、「イクエーショングループはおそらく世界で最も洗練されたサイバー攻撃グループの一つだ」と述べた。

「これは驚くべき技術的成果であり、グループの能力の証です。」

「彼らは長年にわたり、スタックスネットやフレイムなどの他の強力なグループと交流してきた。他のグループよりも早く脆弱性にアクセスできたため、常に優位な立場に立っていた。」

同社はこの攻撃をマルウェア界の「デス・スター」と呼び、Equationという愛称は攻撃者の「暗号化アルゴリズムと難読化戦略への愛着」に基づいて付けられたと述べている(PDF)。

ロイター通信が報じたNSA筋によると、同局はソフトウェア開発業者を装ってメーカーを騙し、ソースコードを提供させていたこともあったという。また、国防総省に代わって正式なコード監査を行った際に、データのコピーを保管していたこともあったという。

ウエスタンデジタルは、ソースコードをFDAに提供していないと述べた。他のハードドライブメーカーがソースコードを提供したかどうかは不明である。

ベクトル

同機関は、侵入した水飲み場型ジハード主義者のサイトを通じて、またCDを含むリムーバブルメディアを傍受して感染させることによって、スパイツールを拡散した。

後者のベクトルは、2009年に、Grzegorz Brzeczyszczykiewiczという偽名の研究者が、ヒューストンで出席したばかりの無名の権威ある国際科学会議から送られてきたCDを受け取ったときに発見されました。

カスペルスキー社は、CDには3つのエクスプロイトが含まれており、そのうち2つはゼロデイであり、「ほぼ全能」の攻撃グループによって送信されたと述べた。

もう 1 つの方法には、Fanny と呼ばれるカスタム マルウェアが含まれ、これは、後に Stuxnet で実行されたものと同一の 2 つのゼロデイ脆弱性を利用しました。

カスペルスキーの研究者らによると、その主な目的は、エアギャップネットワーク間でデータをやり取りできる独自のUSBベースのコマンドおよび制御メカニズムを使用して、エアギャップネットワークをマッピングすることだったという。

研究者らは、このことは著者らがナタンツのウラン工場の兵器の背後にいる者たちと協力関係にあったことを示唆しており、詳細な攻撃の背後にNSAがいるという主張をさらに裏付けるものだと述べた。

長期にわたるワイプ拡散攻撃で使用されたその他のトロイの木馬は、Equationlaser、Equationdrug、Doublefantasy、Triplefantasy、および Grayfish と呼ばれていました。

文書にはトロイの木馬の詳細が記されている。

  • EQUATIONDRUG – このグループが被害者に対して使用する非常に複雑な攻撃プラットフォーム。モジュールプラグインシステムをサポートしており、攻撃者が動的にアップロードおよびアンロードできます。
  • DOUBLEFANTASY – バリデータ型のトロイの木馬で、標的が意図した人物であることを確認するように設計されています。標的が正当であると確認された場合、EQUATIONDRUGやGRAYFISHなどのより高度なプラットフォームにアップグレードされます。
  • EQUESTRE – EQUATIONDRUG と同じです。
  • TRIPLEFANTASY – GRAYFISHと併用されることもある、フル機能のバックドア。DOUBLEFANTASYのアップグレード版のようで、おそらくより新しいバリデータ形式のプラグインです。
  • GRAYFISH – EQUATION Groupによる最も洗練された攻撃プラットフォーム。レジストリ内に完全に常駐し、ブートキットを利用してOS起動時に実行されます。
  • FANNY – 2008年に作成されたコンピュータワーム。中東およびアジアの標的に関する情報を収集するために使用されました。一部の被害者は、最初にDoubleFantasyにアップグレードされ、その後EQUATIONDRUGシステムにアップグレードされたようです。Fanny
    は、後にStuxnetで発見された2つのゼロデイ脆弱性を悪用していました。
  • EQUATIONLASER – EQUATIONグループによる初期のインプラント。2001年から2004年頃に使用されました。Windows 95/98と互換性があり、DOUBLEFANTASYとEQUATIONDRUGの間に開発されました。

グレイフィッシュブーツステップ

カスペルスキーは、言及しているマルウェア系統の侵害の兆候を記載しており、近日中にアップデートを公開する予定であると述べている。®

Tutorials

Smart Recommendations

Discover More