セキュリティ企業カスペルスキーは、ASUSのLive Updateツールが悪意のある攻撃者によってマルウェアに感染していることを発見しました。しかし、このような形で標的となったのはASUSだけではないだろうと思われました。カスペルスキーは本日、同じOperation ShadowHammerの標的となった他の6社を明らかにし、この点を裏付けました。
シャドウハンマー作戦、複数のソフトウェアツールに感染
Kaskerspy の研究者は、SecureList ブログを通じて、新たに発見されたマルウェア サンプルは、ASUS への攻撃で使用されたものと同様のアルゴリズムを活用していると述べました。
影響を受けた企業の一つであるElectronics Extremeは、サバイバルゲーム『Infestation : Survivor Stories』を開発しています。もう一つのInnovative Extremistは、WebおよびITインフラサービスを提供する企業で、ゲーム開発も手掛けています。そしてもう一つのZepettoは韓国の企業で、ビデオゲーム『Point Blank』を開発しています。
カスペルスキーの研究者によると、攻撃者はこれらの企業のソフトウェアのソースコードにアクセスできたか、コンパイル時にソフトウェアに感染させることができたとのことです。ハッカーはこれらの企業のネットワークに侵入した可能性があります。研究者たちは、このことがCCleaner攻撃の発生を彷彿とさせると指摘しました。アバストのCCleanerアップデートサーバーも同様の方法で侵入され、数百万人のユーザーがトロイの木馬化されたCCleanerアップデートにさらされました。
カスペルスキー社は、別のビデオゲーム会社、複合持株会社、製薬会社を含む韓国の3社が標的になったと述べた。サイバーセキュリティ企業はこれらの企業名を公表しなかった。
シャドウハンマー作戦の仕組み
カスペルスキーの研究者は、シャドウハンマー作戦で最初に標的となった3社の侵害されたビデオゲームには、ユーザー名、コンピューターの仕様と構成、オペレーティングシステムのバージョンに関する情報を収集する能力があったと指摘した。
感染したゲームは、被害者のシステム上で起動すると、まず特定のトラフィック/プロセッサ監視ツールが動作しているかどうか、そしてシステムの使用言語が簡体字中国語またはロシア語かどうかを確認します。これらのいずれかに該当する場合、ゲーム内のマルウェアは動作を停止します。それ以外の場合、前述のシステム情報などその他の情報を収集します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
侵害されたソフトウェアは、攻撃者のコマンド&コントロールサーバーから新たな悪意のあるペイロードをダウンロードするためにも使用される可能性があります。潜在的な被害者のリストは、ASUSのLive Updateツールへの攻撃の場合のように、MACアドレスのリストに限定されませんでした。
攻撃者は、有効なデジタル証明書を介してこれらの企業のソフトウェアに感染させ、開発環境を侵害しました。カスペルスキーは、これらの企業や同様の立場にある企業に対し、ソフトウェアのセキュリティを確保するためにデジタル署名だけに頼るのではなく、デジタル署名された後もソフトウェアコードを適切に分析することを推奨しています。
カスペルスキーの研究者らは、同じグループの標的となった企業は他にも多数存在する可能性があると警告しているが、その数は現時点では不明だ。しかし、Operation ShadowHammerが一般的な開発ツールへの感染に成功した場合、影響を受けた開発ツールを使用している企業もすべて感染することになるだろう。
