ロシアKaspersky Labは現地時間2015年2月16日、極めて高度なサイバー攻撃集団「Equation Group」の存在を確認したと発表した(図)。ほぼ20年にわたって活動している可能性があり、「手口の複雑さと精巧さでは、我々が知っているあらゆる集団を上回る」と同社の調査分析チームは述べている。
Kaspersky Labによると、Equation Groupには様々な特徴があるという。とても複雑で開発費用がかかるツールを使用し、標的としたユーザーにマルウエアを感染させてデータを収集するとともに、自身の犯行を隠蔽する。
感染させるマルウエアは複数あり、Kaspersky Labはそれぞれ「EquationLaser」「EquationDrug」「DoubleFantasy」「TripleFantasy」「Fanny」「GrayFish」と名付けているが、このほかにも存在することは間違いないとしている。
またKaspersky Labは、十数ブランドのハードディスクドライブ(HDD)のファームウエアを再プログラムできるモジュールを2種類発見した。ファームウエアを書き換えることにより、マルウエアはディスクフォーマットやOSの再インストールによっても削除されることなく、永続的にHDD内に潜伏できるという。
さらにHDD内に見えない領域を作成し、入手した情報をその中に格納する。おそらく、それらの情報はあとで攻撃者に引き渡される。
マルウエアを感染させる手段はWeb経由だけでなく、物理メディアも使われる。例えばヒューストンで開催された科学会議では、一部参加者に配られた資料CDが悪用され、CDからマルウエアがマシンにインストールされるようになっていた。
Kaspersky Labは、Equation Groupが他の強力なサイバー攻撃集団とつながりがあることも確認した。「Stuxnet」や「Flame」を用いた攻撃グループとも優位的立場から情報を共有した形跡があり、StuxnetおよびFlame攻撃より先にゼロデイ攻撃を実行していたとみられる。
Equation Groupが使用する大規模なマルウエア制御(C&C)インフラは、米国、英国、イタリア、ドイツ、オランダ、パナマ、コスタリカ、マレーシア、コロンビア、チェコなどに置かれた100以上のサーバーと300以上のドメインから構成される。
これまで30カ国以上で攻撃を展開し、政府および外交機関、軍事関連機関、エネルギー事業、核燃料研究施設のほか、航空宇宙、電気通信、マスメディア、金融などさまざまな産業が被害に遭っているという。
[発表資料へ]
