2011年2月、「REMOSH」と呼ぶ攻撃(Night Dragonとも呼ばれる)の被害が多数報告された。特定の国々の石油およびエネルギー産業を標的としたと見られ、犯罪者は標的とする企業ネットワークに侵入し、情報収集のために不正プログラムを仕掛けた。
REMOSHは、世界中の様々な国のエネルギー、石油、ガス、および石油化学企業から企業情報を収集する。一部報道では、この攻撃で利用されたハッキングツールに、アンダーグラウンドフォーラムで取引されている人気の中国製ツールが使用されており、国として中国が関与しているのではないかとの見方もある。REMOSHという名前は、不正プログラムのコンポーネントとして、別のコンピュータからネットワーク経由でコマンドを実行するためのリモートシェル(remote shell)を利用していたことから命名された。
攻撃者は、企業のWebサーバーなどを標的に「SQLインジェクション」攻撃をしかけ、サーバー内のデータを改ざん。そのサーバーに、「HKTL_REMOSH」(※1)として検出されるハッキングツールをアップロードした。なお、このツールは、「バックドア型不正プログラム・ツールキット」、および「コマンド&コントロール(C&C)のインタフェース」としての機能を備えている。
攻撃者は、HKTL_REMOSHのバックドア型不正プログラム作成機能を利用し、不正プログラム「BKDR_REMOSH.SML」(※3)を作成・カスタマイズすることが可能になる。設定できる項目は、感染コンピュータの分類に使用するグループ名、作成されるDLLファイルのパス、および待機するポートなどである。また攻撃者は、このハッキングツールのC&Cインタフェース機能を使ってポート番号やパスワードを設定することができる。
BKDR_REMOSH.SMLは、コンピュータにインストールされると、DLLファイルを作成する。このDLLファイルは、ネットワーク上の他のコンピュータをリモートコントロールするためのソフトウエア「Remote Administration Tool (RAT)」であり、「BKDR_REMOSH.SMF」(※3)として検出される。RAT自体は、正規の目的に対して使用されることもあるが、しばしば不正な目的にも悪用されることがある。「BKDR_REMOSH.SMF」は、「HKTL_REMOSH」に接続してコマンドを受信し、また、攻撃者に以下の情報を送信する。
・その時点のコンピュータのインターネット接続状態(オンラインかオフラインか)
・IPアドレス
・ユーザー名
・コンピュータ名
・使用OS
・CPUモデル
・RAMの容量
サイバー犯罪者は、上記のデータを取得すると、感染したコンピュータを完全に制御できるようになる。こうして、彼らは、感染コンピュータのファイル、ブラウザー、コマンドライン・インタフェース、レジストリブラウザ^、およびリモートデスクトップビューアにアクセス可能になる。
