Snake はロシア FSB 由来：米政府が無効化した最強のスパイツールとは？

U.S. Government Neutralizes Russia’s Most Sophisticated Snake Cyber Espionage Tool

2023/05/10 TheHackerNews — ロシア連邦の FSB (Federal Security Service) が保有する、高度なマルウェア Snakeが侵害したグローバル・ネットワークを、裁判所の許可を得た米国政府が、5月12日に停止したことが発表された。最も洗練されたサイバー・スパイ・ツールとされる Snake の背後には、Turla (別名 Iron Hunter／Secret Blizzard／SUMMIT／Uroburos／Venomous Bear／Waterbug) と呼ばれるロシアの国家支援グループがいるとされるが、その正体について米国政府は、FSB の Center 16 のユニットであると見ている。

この脅威アクターは、ヨーロッパおよび、NATO 加盟国、CIS (Commonwealth of Independent States) のエンティティを重点的に攻撃してきた実績がある。最近の活動では、この地域でロシアの支援を受ける国々にとって脅威とみなされる、中東の諸国を取り込むために足場を拡大している。

米司法省は、「裁判資料では、この Turla と呼ばれるグループは、少なくとも 50カ国の数百のコンピュータ・システムから機密文書を盗み出すために、20年近くにわたって Snake マルウェアを使用してきた。そして Turla は、Snake に感染したコンピュータの、秘密のグローバル・ネットワークを介して、それらの盗み出した文書を流出させていた」と述べている。

Snake の無力化は、オペレーション MEDUSA の一環として、FBI が開発したコードネーム PERSEUS というツールを用いて行われた。このツールにより、当局はマルウェアにコマンドを発行して、感染マシン上で自らの重要コンポーネントを上書きさせることに成功した。

同機関の説明によると、このマルウェアのネットワーク通信を解読／復号化した後に、特別に設計された自己破壊命令により、ホスト・コンピュータや正規のアプリケーションに影響を与えることなく、Snake インプラント自身を無効化させたとのことだ。

米国の CISA が発表したアドバイザリによると、優先度の高いターゲットに対する長期的な情報収集のために、Snake は秘密ツールとして設計されているという。そして、この脅威アクターは、世界中の侵害したシステム上で、P2P (Peer-to-Peer) ネットワークを構築できるとされる。

さらに、P2P ネットワーク内の複数のシステムが、中継ノードとして機能する。そして、FSB が最終ターゲットとして定めるシステムに埋め込んだ Snake マルウェアとの間で、偽装されたオペレーション・トラフィックをルーティングすることで、この活動の検知を困難にしている。

この、C言語ベースのクロスプラットフォーム・マルウェアは、カスタムな通信方式を採用してステルス性を高め、また、モジュラー・アーキテクチャを採用しているため、コンポーネントを注入／変更することで効率的に機能を強化し、貴重な情報へのアクセスを持続できる。

CISA は、「Snake では、ソフトウェア・エンジニアリングの設計／実装が入念に行われており、その複雑さを考えると、驚くほどバグが少ない。インプラントの初期バージョンは、2004年初頭頃に開発されていた。FSB は、ほぼ絶え間なくアップグレードと再開発を繰り返していたわけであり、Uroburos という名称は適切である」と述べている。

クレムリンの支援を受けたグループのインフラが、北米／南米／ヨーロッパ／アフリカ／アジア／オーストラリアなどの 50カ国以上で確認されている。しかしその標的は、政府ネットワーク／研究施設／研究者たちなどを包含する、より戦術的なものであると評価されている。

米国では、教育／中小企業／報道機関／政府施設／金融サービス／重要製造業／通信などの、重要インフラが被害に遭っている。

このように、Turla は、Windows／macOS／Linux／Android などの各 OS において、さまざまな戦術やツールを駆使して標的を攻撃する、アクティブで手ごわい敵であることに変わりはない。

すでに米国の法執行機関と情報機関は、Sandworm と呼ばれる別のロシアの国家的脅威アクターが制御する、Cyclops Blink という名のモジュラー・ボットネットを解除している、それから、１年あまりの間に、今回の展開に至った。

Snake に対する CISA の論評が印象的です。 なお、このマルウェアの名前は、2023/04/25 の「ロシア国家支援の APT グループ Tomiris／Turla の関連性を掘り下げる」に登場しています。また、Sandworm は、2023/04/20 の「ロシアからのフィッシング攻撃：約６割がウクライナに集中 – Google TAG 調査」で触れられています。よろしければ Russia + APT で検索も、ご利用ください。