シマンテックがWipbotとTurlaとして知られるマルウェアを使った組織的なサイバースパイ活動に関するレポートを公開
シマンテックは8月13日、ブログ「Turla: 政府機関や大使館を狙うスパイツール」を日本語で公開した。英語版はすでに公開済み。
これはWipbotとTurlaとして知られるマルウェアを使った組織的なサイバースパイ活動に関するレポートだ。ブログによればバックドア型の「Trojan.Wipbot」を使って偵察活動を始め、その後「Trojan.Turla」を使った監視活動にシフトするのが手口だという。この組み合わせて少なくとも4年間スパイ活動をしているという。また、高度な技術が用いられていることから、背後には国家が支援しているグループの存在が考えられるとしている。
当初、この感染は欧州諸国中心のように見えたが、分析した結果、西欧圏で感染している多くのPCは、旧東側諸国の政府機関のネットワークに接続されていたことが判明。また、攻撃は特定の国に集中しており、2012年5月には旧ソビエト連邦構成国の首相事務局で発生した感染が、最大60台ものPCに広がっている。
また別件では、2012年末に旧ソビエト連邦構成国の在フランス大使館で発生した感染は、翌年になると外務省のネットワークに繋がっているPCに拡散されはじめ、内務省にも広がった。こうした感染が、ベルギー、ウクライナ、中国、ヨルダン、ギリシア、カザフスタン、アルメニア、ポーランド、ドイツの大使館でも確認されているという。
シマンテックでは数年間にわたり、Turlaの背後にいるグループの活動を追跡している。攻撃者の身元特定には至っていないものの、攻撃活動のタイムスタンプは協定世界時(UTC)より4時間進んだ時間帯での標準的な業務時間に発生しているとのこと。ちなみにUTCを4時間進ませた標準時UTC+4(別名モスクワ時間)の該当地域は、ロシアのモスクワやサンクトペテルブルク、グルジア、アゼルバイジャン、カザフスタン、オマーンなど。
なお、これらのマルウェアは、シマンテックの最新バージョンではすでに対策済み。
