超スパイウェア・プロジェクト「コブラ」の発見
――G DATAセキュリティラボによる分析結果――

 

株式会社グローバルワイズ(本社：名古屋市中村区、代表取締役：伊原 栄一)は、パートナー企業で
ある、ドイツのセキュリティソフト会社G DATA Software AG（本社：ボーフム市、代表取締役：
カイ・フィゲ他）のラボが、これまで発見された高度なスパイウェア「Agent.BTZ」「ウロボロス」
「ComRAT」などが、いずれも共通の開発元（＝プロジェクト・コブラ）によって作成された可能性
が高いという分析結果を出したことを、ここにお伝えします。

 

 

■国家間サイバー攻撃に深くかかわるプロジェクト「コブラ」

2014年3月、G DATAセキュリティラボは、「ウロボロス」という強力なスパイ機能をもったルート
キットを発見したことを発表しました。その後この「ウロボロス」は、マルウェア「Agent.BTZ」と
関係があるのではないかという見方がなされました。

 
「Agent.BTZ」は、最初に発見されたのは2006年ですが、2008年秋に大きく話題になりました。
スパイウェア「SillyFDC」の亜種で、コンピュータのデータをスキャンして外部と自由にやりとりの
できるバックドアを開き、そこを通じて遠隔操作を行い、サーバーをコントロールし、データを送り
だします。USBメモリを介して、アフリカ・中東地域を管轄するアメリカ中央軍基地のパソコンが感染し、
最終的には、米国の中央司令部に置かれているラップトップコンピュータに侵入し、イラクやアフガ
ニスタンにいる司令官が使う戦闘計画など、いくつかの機密情報が盗まれました。もちろん当時この
ことは極秘でしたが、2014年になって明らかにされました米国はこのワームを駆除すべく「バック
ショット・ヤンキー作戦」を敢行しますが、軍事ネットワーク全体が健常化するのに、およそ14カ月
もの歳月を費やしました。その状況をふまえて米国は「サイバー軍」を開設しました。

 
また、2013年にG DATAセキュリティラボはきわめて強力なルートキット「ウロボロス」を発見しました。
これには、外部から情報を盗み出すスパイウェアが搭載されており、その挙動はすべて表には見えません。
しかも、インターネットに接続されていないコンピュータも、間接的にネットワークを通じて感染可能
という特徴をもっています。プログラム設計のデザインや複雑さから、これは、個々のネット犯罪者たち
の仕業ではなく、「Agent.BTZ」をつくりだした組織のような、国家レベルの諜報機関によるものと推測
されました。また、その後、2014年2月にベルギーとフィンランドの外務省も「ウロボロス」によって
機密情報が狙われました。

 
そして、2014年11月には「Agent.BTZ」の亜種と思われるスパイウェア「ComRAT」が出現しました。
「ComRAT」は、その名から分かるとおり、「Com」という、アプリケーションソフトウェアの開発を容易に
するためにマクロソフトが用意した「コンポーネント・オブジェクト・モデル」の略称のとおり、マルウェア
作成者はこの仕組みを悪用しユーザーやセキュリティソフトに気づかれないように活動できる隠れ場所を
つくりだし、その結果、コンピュータを乗っ取り、一見ブラウザがデータをやりとりしているように見せ
かけて、実は、ネットワークの外部へとデータを盗みだすものです。
また、後半の「RAT」は、サポートなど、外部からパソコンを操作するために用いられる「リモート管理
ツール」の略称で、ハッカーはこの機能を悪用して外部からマルウェアを操作するのです。

 

■「カーボン」の分析とプロジェクト「コブラ」

今回、G DATAセキュリティラボが特に解析を行ったのは、2009年に作成された「カーボン・システム」
(Carbon　System)です。解析の結果、「カーボン」もまた、「Agent.BTZ」や「ウロボロス」「ComRAT」
ときわめて類似した仕組みをもっており、技術的特徴として、暗号鍵、アルゴリズム、デザインなどに
共通点がありました。また、時期としては「Agent.BTZ」の後に開発され、「ウロボロス」よりも前に
開発されたものと推定されました。「カーボン」を分析することによって、プロジェクト「コブラ」と
これらのマルウェアとの関連性が見えてきました。

 
「カーボン」もまた、大規模ネットワークへの攻撃に利用されるための仕組みを備えています。モジュラー
構造をもち、標的のシステムに合わせて内容を変えてマルウェアをダウンロードさせます。「カーボン」の
なかで「コブラ」が果たす役割は、拡張可能なフレームワークと考えられます。このフレームワークは、
たいていはダウンロードさせるか、偵察機能をもったマルウェア（＝「Tavdig」　別「Wipbot」（シマン
テック）、「Epic Backdoor」（カスペルスキー））によってコンピュータに投げ込まれます。

 
利用の流れは、まず、PDFやJavaの脆弱性を利用してコンピュータに偵察ツール（Wipbot/Tavdig）を潜入
させ、感染したシステムによって、攻撃者は、「カーボン」か「ウロボロス」か、いずれかを次のツールを
投下します。

 
このマルウェアは、あえてプログラムの記述を細かく変え、マルウェアをさまざまなディレクトリに投下して、
特定させないようにしているため、通常のソフトウェアでは検出できませんし、IOC（脅威指標）を使っても、
うまく突き止められません。

 
ただしG DATAのセキュリティソフトの場合、このマルウェアは、以下の名称で検出されます。

 
エンジンA：　Backdoor.TurlaCarbon.A
エンジンB：　Win32.Trojan.Cobra.B

 
また、コンパイルのパスを次のように特定されます。

 
f:\Workshop\Projects\cobra\carbon_system\x64\Release\carbon_system.pdb

 
このパスから、「カーボン」が「コブラ」の一部であることが容易に理解できるでしょう。

 
以上、「カーボン」の分析によって判明した、これらのマルウェアの系譜ですが、時間軸に並べると、
次のようになります。
 

2006年　Agent.BTZ
2009年　Carbon
2011年　Uroboros
2014年　ComRAT　（Agent.BTZの直系の亜種）

 
プロジェクト「コブラ」の大きな特徴としては、新たなツールを開発すると、これまでのツールは
一度使うのを止め、別系統のツールに移行しますが、しばらく時間が経過すると、かつての亜種が
再び現れるということになりそうです。

 
現在、世界では、目に見える形でテロや人質による要求の提示や戦闘が行われていますが、同時に、
サイバー空間においても、熾烈な戦いが続いています。日本語圏においても、決して他人事ではなく、
サイバー攻撃を受ける可能性を常に自覚して、インターネットやコンピュータを利用しなければ
ならない時代となりました。攻撃は官公庁だけとはかぎりませんので、みなさまにおかれましては、
くれぐれもご注意ください。
 

＊さらに詳細な情報は、下記のリンクURL先にあります（英文）。
https://blog.gdatasoftware.com/blog/article/analysis-of-project-cobra.html

 

■問い合わせ先
本公開内容に関するお問い合わせについては、下記までお願いします。
株式会社グローバルワイズ G DATA公式ページ http://gshop.g-wise.co.jp/
セキュリティソリューション推進室　浦瀬・山本
〒450-0003　名古屋市中村区名駅南2-14-19　 住友生命名古屋ビル21F
TEL：052-581-2600　　FAX ：052-533-3611
E-Mail pr_gdata@g-wise.co.jp