2013年8月19日以降、匿名通信システム「Tor」への接続ユーザ数が著しく増加しており、この急増の要因について、さまざまな憶測が飛び交っています。8月19日は、米国の「National Security Agency(NSA、国家安全保障局)」の監視プログラム「PRISM」から逃れようとする最初の日だったのでしょうか。あるいは、ヨーロッパ圏のインターネットサービスプロバイダによる BitTorrent検索サイト「Pirate Bay」といった Webサイトへのブロックを回避して、同地域のインターネットユーザが最新の米国のケーブルTV・シリーズを Tor経由のみでダウンロードしていたのでしょうか。そのどちらでもありません。Tor への接続ユーザ数の急激な増加は、ボットネットにより Torネットワークが悪用されたのが原因と考えられます。
トレンドマイクロでは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によるフィードバックから、不正プログラム「Mevade」が 8月最終週から 9月初めにかけて、実際に Tor のモジュールをダウンロードしていることを突き止めました。サイバー犯罪者たちは、彼らの「コマンド&コントロール(C&C)サーバ」を隠ぺいするために Tor を利用したものと考えられます。そして、Tor上での匿名化されたサービスを停止することは、事実上不可能です。
同様の見解として、オランダのセキュリティベンダ「FOX-IT」も、2013年9月5日に公開された記事において、「Mevade」と呼ばれる不正プログラムがおそらく自身の C&C通信用のバックアップとして Tor のコンポーネントをダウンロードしていたことに言及しています。
今回の事例に関わるサイバー犯罪者たちは、Tor により「Mevade」の活動を隠匿しようとしましたが、自身の身元を「匿名化」するのに少し注意が足らなかったようです。彼らは、ウクライナのハリコフ市およびイスラエルを拠点にして、少なくとも 2010年から活動しています。主要メンバーの 1人は、「Scorpion」として知られています。また、「Dekadent」というニックネームのメンバーも確認しています。「Scorpion」も「Dekadent」も、よく組織化され資金力を備えたサイバー犯罪集団の一員とされています。
トレンドマイクロでは、アドウェアのインストールおよび検索結果のハイジャックに関してこうしたサイバー犯罪者たちが深く関与していると考え、彼らの金銭獲得の手段の 1つとして「Mevade」で構成されるボットネットが使われ、感染PC上へのアドウェアやツールバーのインストールにより実行されているものと推測しています。弊社の調査では、実際に「Mevade」によるアドウェアのダウンロード活動を確認しています。アドウェアや不審なツールバーは、一見、情報収集型不正プログラムといった脅威より危険性は少ないと考えがちかもしれません。しかし、不正な広告が発端として大金が生み出されているのが現実です。
またトレンドマイクロでは同時に、「Mevade」がバックドア機能や、暗号通信する「Secure Shell(SSH)」を経由して外部のホストサーバと通信する機能をも備えていることに注目しています。つまり「Mevade」は、情報収集機能も備えている可能性が非常に高いものと言えます。
トレンドマイクロでは引き続き「Mevade」についての解析を行っています。詳細な情報がわかりしだい、本ブログなどでお知らせします。
参考記事:
by Feike Hacquebord (Senior Threat Researcher)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)