悪意のある人物は、昨年 Shadow Brokers によって漏洩された 3 つの NSA ハッキングツールを使って、航空宇宙、原子力、その他の産業で使用されているコンピュータシステムに感染し、スパイ活動を行っています。
これはカスペルスキー研究所によるもので、同社の研究者らは本日、アメリカの諜報機関のサイバー兵器「DarkPulsar」が、感染したマシンを遠隔操作できる「DanderSpritz」と「Fuzzbunch」と呼ばれる2つのツールキットとともに、ロシア、イラン、エジプトのWindows Server 2003および2008のボックスを乗っ取るためにハッカーによって使用されたと述べた。
感染した脆弱なサーバーは、航空宇宙や原子力エネルギーなどの業界の約50の組織、特に大規模なIT部門や研究開発部門を持つ組織で使用されています。
「FuzzBunchとDanderSpritzフレームワークは、柔軟性を備え、他のツールとの互換性と機能性を拡張できるように設計されています」と、カスペルスキー研究所のアンドレイ・ドルグシェフ氏、ドミトリー・タラカノフ氏、ヴァシリー・ベルドニコフ氏は報告しています。「それぞれ異なるタスク向けに設計されたプラグインのセットで構成されています。FuzzBunchプラグインは偵察と被害者への攻撃を担うのに対し、DanderSpritzフレームワークのプラグインは、既に感染した被害者の管理を目的として開発されています。」
シャドウブローカーズ、NSAハッキング情報の新たな宝庫に600万ドルの値を付けた
続きを読む
不明瞭だったのは、DanderSpritzとFuzzbunchのツールボックスがどのように連携して感染マシンにアクセスできるかという点です。ここでDarkPulsarが登場します。
DarkPulsar自体はバックドアであり、Fuzzbunchエクスプロイトキットと併用することで、ハッカーは標的のサーバーへのリモートアクセスが可能になります。そこから、攻撃者は専用のプラグインとDanderSpritzを使用して、侵入したサーバーを監視し、データを抽出することができます。
カスペルスキーの研究者は、この発見は、DanderSpritz、DarkPulsar、Fuzzbunchが予算のある犯罪者や国家スパイによって連鎖され、強力な攻撃パッケージを作成する可能性があることを実際に示しているため、重要であると述べています。
「DarkPulsarバックドアの発見は、2つの漏洩したフレームワーク間の橋渡しとしての役割、そしてDarkPulsarの高度な持続性とステルス性に基づいて長期的な侵害を目的に設計された同じ攻撃プラットフォームの一部であることを理解するのに役立ちました」とカスペルスキー研究所は述べた。
「トラフィックを正当なプロトコルにカプセル化したり、認証を通過するための資格情報の入力をバイパスしたりするなどの機能の実装は、非常に専門的です。」
この発見により、研究者たちは、漏洩の前後で、NSA のハッキングツールがどのように組み合わせられ、ハッキング活動を実行していたかを解明することができた。
彼らのレポートには、自社ネットワーク内でツールを検出し、停止する方法に関する技術的な詳細が記載されています。また、NSAのエクスプロイトが漏洩した脆弱性に対するパッチも提供されているはずです。®
