ベトナムのユーザーをターゲットにしたサイバー攻撃が登場

2010/04/08

マカフィーは、Googleなどの企業を攻撃するOperation Auroraの調査中に、ベトナムのユーザーをターゲットにした、新たな攻撃を発見しました。今回のサイバー攻撃者には、政治的な意図があると見受けられ、ベトナムのユーザーのPCを乗っ取り、ボットネットを構築しています。攻撃者は、Windowsがベトナム語をサポートできるようにするソフトウェアを装ったマルウェアを使って、ベトナム語を話す人たちに攻撃を仕掛け、ボットネットを構築しました。キーボードドライバーを装ったボットコードは、Operation Auroraの攻撃を受けた、一部の企業のPCに侵入しました。感染したシステムは世界中の命令・制御システムとともにボットネットに参加します。これらの主なアクセス元はベトナム国内のIPアドレスです。本件は、増加中のハクティビズム、および政治的な意図を持つサイバー攻撃の最新の事例だと、マカフィーは考えています。

今回のサイバー攻撃の発見に際し、マカフィー社 CTO兼エグゼクティブバイスプレジデントであるジョージ・カーツ(George Kurtz)は、次のように述べています。

「マカフィーがOperation Auroraの調査中に特定したボットネットは、政治的な意図があると思われる攻撃で、これらのPCを乗っ取ります。攻撃者は、Windowsがベトナム語をサポートできるようにするソフトウェアを装ったマルウェアを使って、ベトナム語を話す人たちに攻撃を仕掛け、ボットネットを構築しました。VPSKeysという名前で知られるキーボードドライバーは、ベトナム語を話すWindowsユーザーの間で人気があり、Windowsを使うときに適切な位置にアクセント記号を挿入できるようにするために必要です。

キーボードドライバーを装ったボットコードは、コンピューターに侵入して感染を引き起こすと、世界中の命令・制御システムとともにボットネットに参加します。これらの主なアクセス元はベトナム国内のIPアドレスです。

このボットネットを構築する試みは、偶然にもOperation Aurora攻撃と同じ2009年末に始まったと思われます。McAfee Labsは、Operation Auroraの調査中にこのマルウェアを特定しましたが、攻撃とは無関係だと考えています。このボットコードは、その巧妙性という意味では、Operation Aurora攻撃よりもずっと劣っています。分散サービス拒否(DDoS)攻撃、乗っ取ったシステムの活動の監視など、感染したマシンを不正な目的で使用する一般的なボットコードです。

攻撃者が最初に乗っ取ったのは、Vietnamese Professionals Society(VPS)のWebサイトであるwww.vps.orgで、正規のキーボードドライバーをトロイの木馬に置き換えたと思われます。次に、攻撃者はVPSのWebサイトにリダイレクトするメールをターゲットに送信し、ターゲットはドライバーの代わりにトロイの木馬をダウンロードしました。

マカフィーがW32/VulcanBotと名付けた不正なキーボードドライバーは、感染したマシンを乗っ取ったコンピューターで構成されるネットワークに接続します。ボットネットの調査では、乗っ取られたPCのネットワークを狙った命令・制御システムが10台ほど見つかりました。命令・制御サーバーの主なアクセス元はベトナムのIPアドレスでした。

トロイの木馬は感染したシステムに以下のマルウェアをインストールします。
* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
* %UserDir%\Application Data\Java\jre6\bin\zf32.dll
* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
* %SysDir%\mscommon.inf
* %SysDir%\msconfig32.sys
* %SysDir%\zf32.dll
* %SysDir%\Setup\AdobeUpdateManager.exe
* %SysDir%\Setup\jucheck.exe
* %SysDir%\Setup\MPClient.exe
* %SysDir%\Setup\MPSvc.exe
* %SysDir%\Setup\OSA.exe
* %SysDir%\Setup\wuauclt.exe
* %SysDir%\Setup\zf32.dll

これらのファイルは実行されると、以下のドメインに接続します。
* google.homeunix.com
* tyuqwer.dyndns.org
* blogspot.blogsite.org
* voanews.ath.cx
* ymail.ath.cx

当初、これらのドメイン、およびファイルの一部はOperation Auroraに関係していると報告されていましたが、現在では、このマルウェアはOperation Auroraとは無関係で、異なる命令、制御サーバーを使用していると考えられています。

侵入者には政治的な動機があり、ベトナム社会主義共和国政府に忠誠心を持っている可能性があると思われます。Wikipediaによれば、Vietnamese Professionals Societyの目的は、東南アジアの国の社会、経済状況に関する知識と理解を深めることです。

マカフィーは、Operation Auroraに関係するマルウェア対策の提供とほぼ同時期の1月、このマルウェアの検出を追加しました。ボットネットの活動は依然として活発であり、ボットネットからの攻撃は現在も続いています」

本件は、すべてのサイバー攻撃がデータの盗難や金を目的にしているわけではないことを示していると同時に、現在増加しつつあるハクティビズム、および政治的な意図を持つサイバー攻撃の最新の事例だとマカフィーは考えています。マカフィーでは、増加の一途をたどる組織的なサイバー犯罪や政治目的のハッキング活動に警鐘を鳴らすため、サイバー犯罪について考察したレポート「サイバー犯罪とハクティビズム」を発行しています。

レポート:サイバー犯罪とハクティビズムのダウンロード マカフィーのセキュリティ研究レポート「サイバー犯罪とハクティビズム」
グローバリゼーションは企業や消費者に多くの恩恵をもたらしました。しかし、その反面、組織的な犯罪が増えているのも事実です。グローバル化された媒体であるインターネットを利用し、様々な企業や消費者が情報と金銭のやり取りを行っています。犯罪者も例外ではありません。インターネット上で犯罪が多発する現在では、ネットワークが直接攻撃されるだけでなく、被害を受けたネットワークが別の犯罪に利用されるようになりました。
ネット犯罪者の多くは単独ではなく、犯罪グループに参加したり、新たにグループを作ろうとします。経済的、文化的、技術的など様々な動機はありますが、仮想上で犯罪行為を行う犯罪者は後を絶ちません。
ダウンロードはこちらから。 http://www.mcafee.com/japan/security/wp_cybercrime_hacktivism.asp

関連情報

※本ページの内容はSecurity Insights Blogの抄訳です。
原文:Vietnamese Speakers Targeted In Cyberattack