「TorRAT」を拡散したオランダのサイバー犯罪組織を逮捕

2013年10月下旬、「TorRAT」と呼ばれる不正プログラムを拡散したとして、オランダで 4人の男が逮捕されました。この不正プログラムは、オランダ語を使用するユーザのみを対象とし、コマンド&コントロール(C&C)サーバに匿名通信システム「The Onion Router(Tor)」を利用していました。この不正プログラムの主要な目的は、オンラインバンキング口座からの金銭の収集でした。トレンドマイクロの製品では、「TROJ_INJECT.LMV」として検出されるこの不正プログラムについては、弊社のセキュリティ情報のページでより詳細な記述をしています。ユーザは、特段精巧に作られたスパムメールの送り状をクリックすることでこの脅威の被害者となります。通常、ネイティブスピーカでない同業の犯罪者たちによって送信される典型的なスパムメールには、文法やつづりの間違いがありますが、これらの送り状にはありませんでした。

■痕跡をとどめない

このオランダの犯罪者たちは、注意深く痕跡を隠します。上述したように犯罪者たちは、Tor で匿名化された C&Cサーバを利用していました。また Eメールでの通信には、無料の匿名 Eメールサービス「tormail.org」のアカウントを利用していました。さらに、セキュリティ対策ソフトの検出の回避に特化したアンダーグラウンドの暗号化サービスも利用していました。そして、電子通貨「Bitcoin(ビットコイン)」は、収集した金銭の出所の隠ぺいおよび仲間の犯罪者たちへの支払いに利用されていました。

上述した行為は、犯罪者たちの正体を探るための捜査を難しいものにしました。しかしながら、オランダの国家警察機関に所属する「National High Tech Crime Unit(NHTCU)」は、犯罪者たちを逮捕することができました。弊社は、犯罪組織がどのような致命的な失敗を犯したのかを正確には把握していませんが、ほんの少しの過ちで犯罪者たちの真の正体を明らかにすることが可能であることを知っています。

■隠ぺいと完璧でない匿名

弊社は、しばらくの間犯罪組織の追跡調査を行っていて、いくつかの有益な結論に達することができました。まず目立ったものは、オランダ語のネイティブスピーカが関わっていたことでした。犯罪組織が拡散させた 300 を超える不正プログラムの 1つから判断すると、「SamArt」と呼ばれるアルメニアの暗号化サービスを利用していたと考えられます。不正プログラムの暗号化は、セキュリティベンダによる検出をより困難なものにします。しかし自身の正体を隠ぺいしたい場合、危険にさらされる第三者のツールに接触する必要があります。それに加え 2012年秋、トルコのデータセンタを除くいくつかの C&Cサーバは、Tor の匿名サービスに組み込まれていませんでした。

さらに重要なこととして犯罪組織は、インターネットが繁栄する以前、同業の犯罪者たちも経験した旧来の問題に直面しました。それは、金銭の収集は簡単だがその収集した金銭を自身のものとして自分のポケットにしまい込むのは難しい、という問題でした。感染させた PC で銀行取引を操るのは比較的単純ですが、収集した金銭の資金洗浄には仲介者が必要です。オランダの犯罪組織は、ビットコインの取引を経由し資金洗浄を行い、組織独自のビットコイン取引サービス「FBTC Exchange」をさえも構成していたとされています。FBTC Exchange は、今回の逮捕の後に消滅しました。

tormail.org を利用しての暗号化サービスの購入や資金洗浄のための仲介者の募集および利用は、サイバー犯罪者たちを逮捕の危険にさらします。たった 1つの過ちですべてのサイバー犯罪活動を破綻に導くことが可能です。Tor は、高度な匿名性を提供しますが、Torツールは、情報漏えいに対しては効果がありません。

また犯罪者は、収集した資金を実際に利用するために、ある時点で Tor の壁の向こうから姿を表さなければなりません。つまり本質的には、Tor の背後に潜むサイバー犯罪者たちは追跡できるのです。これは、2013年10月1日の違法薬物を売買する闇市場「Silk Road」の運営者の逮捕が証明しました。Silk Road の所有者は Tor を利用していましたが、インターネット上に残したほんの少しの証拠に対する徹底した捜査を通じて「米連邦捜査局(FBI)」により逮捕されました。

2013年8月に起きた、Tor への接続ユーザ数急増の要因であるボットネット「Mevade」は、弊社の追跡調査によりウクライナおよびイスラエルのアドウェアを利用する企業によるものと確認。そして今回、オランダの NHTCU は、オランダのインターネットユーザから金銭を収集するために Tor を乱用した犯罪組織を追い詰め逮捕しました。弊社は、NHTCU の素晴らしくそして偉大な功績は、賞賛すべきものだと考えます。

参考記事:

  • Dutch TorRAT Threat Actors Arrested
    by Feike Hacquebord (Senior Threat Researcher)

    • 翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. HTML5 を悪用する脅威、「ブラウザ型ボットネット」とは
    2. 「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か
    3. 匿名通信システム「Tor」への接続ユーザ数急増の要因を究明する
    4. 「ZBOT」やその他の情報収集型不正プログラムにも利用されるプログラミング言語「AutoIt」