産業制御システムを狙ったマルウエア「Stuxnet」と関連があるとみられる新しいマルウエア「Duqu」が見つかり、セキュリティベンダー各社がブログで解説している。例えばフィンランドのエフセキュアや米ウェブセンスが、Doquに関する解説をそれぞれブログで掲載している。
ロシアのカスペルスキーラボも、Q&A形式にまとめて説明した。
DuquはStuxnetを作成したグループによって記述されたと見られるトロイの木馬で、システムに入り込んでバックドアとして機能する。個人情報を盗み出すことを主な目的としており、この点がStuxnetと大きく異なる。侵入の手口はまだ解明されていない。
Duquに関する最初の言及は、ハンガリー人ブロガーが9月8日に投稿した記事で、DuquのファイルのMD5値を書き示していた。しかしこのブロガーはのちに、関連する投稿を削除してしまった。
投稿内容の画像
Duquは認証局をターゲットにしているとも言われているが、今のところ明確な裏付けはない。
またカスペルスキーラボは、Duquの主要モジュールとキーロガーに焦点を絞ってブログで解説した。
Duquの主要モジュールは、構造も振る舞いもStuxnetと酷似しており、次の三つのコンポーネントで構成される。
・システムプロセスにDLLをインストールするドライバー
・別のモジュールを持ち、マルウエア制御(C&C)サーバーとやりとりするDLL
・設定ファイル
Duquという名前は、主要モジュールとともに被害システム上で見つかったスパイプログラムのファイル名に由来している。スパイプログラムは、基本的にはキーロガーだが、ほかの情報も収集する機能を持つ。キーロガーが収集したデータを「DQx.tmp」を含む名前のファイルに保存することから、Duquと名付けられた。
このスパイプログラムは主要モジュールによってダウンロードされたと考えられるが、その機能からすると、主要モジュールがなくても単独で動作可能だ。同時に、主要モジュールもスパイプログラムなしでも動作する。
カスペルスキーラボが1年前に実施したStuxnetの分析によると、Stuxnetは主にプログラマブルロジックコントローラ(PLC)向けモジュールと搬送プラットフォームで構成されている。同社はこの構造を、PLCモジュールを“弾頭”としたミサイルに例えている。
ミサイルに例えたStuxnetの構造
同社は、Stuxnetが異なる2つのグループによって開発され、両グループは互いの存在を知らないか、プロジェクトの最終目的を知らなかったと推測している。
カスペルスキーラボが推測するStuxnet作成グループの構成
DuquはStuxnetのマルウエア拡散とシステム感染を担う部分を再利用して作られたと考えられるが、弾頭を積んでいなかった。しかしいつでも弾頭を搭載して、ターゲットにインストールすることができる。
Duquが検出された経緯は、まず2011年9月1日に、「DN1.tmp」を含む名前のファイルがハンガリーからウイルスチェックサイト「Virustotal」に送られた。このトロイの木馬型スパイウエアは、不正侵入を受けた組織のシステムにインストールされていたものとみられる。
次いで9月9日に、「cmi4432.sys」というファイル名のドライバーが、やはりハンガリーからVirustotalに送られた。台湾シーメディアエレクトロニクスのデジタル認証を持つドライバーの改造版だった。Duquに関して最初に言及したハンガリー人ブロガーの投稿の翌日である点が興味深いと、カスペルスキーラボは指摘する。このブロガーはおそらくハンガリーの認証局であるデータコンタクトに勤めており、Virustotalに提出されたファイルは同社あるいは同社顧客のパソコンで見つかったものと思われる。
さらに9月18日には別のドライバーがVirustotalに送られた。ファイル名は「jminet7.sys」で、電子署名はなく、自身を台湾ジェイマイクロンからのファイルだとしている。
Doquのすべてのモジュールが検出され、Doquについて公表された10月17日の翌日、三つ目のドライバー「nfrd965.sys」が見つかり、オーストラリアとインドネシアからほぼ同時にVirustotalに送られた。電子署名はなく、米IBMのドライバーだと主張している。カスペルスキーラボは10月20日に四つ目のドライバーをVirustotal経由で受け取った。英国から送られてきたそのファイル「adpu321.sys」は電子署名がなく、米アダプテックからのものだとしている。
さらにカスペルスキーラボが顧客システム内の不正な行動を追跡するクラウドサービスを使って調べたところ、すべてのモジュールが検出されてから24時間以内にまた1件の感染を確認した。そのターゲットはこれまで挙げてきたいずれの国とも異なり、検出されたドライバーのファイル名は「adp95xx.sys」だった。
特定業界の多数のシステムに感染したStuxnetと異なり、Duquはターゲットを極めて限定してシステムに感染する。そして、各ターゲットごとにまったく異なるモジュールを使用している可能性がある。