2016年2月8日

株式会社Doctor Web Pacific

2015年に悪名を轟かせた Trojan.Dyre を拡散する犯罪組織を逮捕するための、法執行機関による大規模なオペレーションから2カ月が過ぎた今、このトロイの木馬が再び注目を集めています。今回、マスメディアは2014年の夏から世界中の金融機関を脅かしてきたこの悪意のあるプログラムが根絶されたと主張しています。しかしながら、法執行機関はオペレーションの成功について口をつぐんでいます。

Doctor Webでは Trojan.Dyre の拡散状況と、そのインフラストラクチャについて監視を続けてきました。この悪意のあるプログラムは CaaS （crime-as-a-service：犯罪関連ソフトウェアのサービス群）モデルがどのように展開されるかを示す「典型的な」例であるという点は特筆に値します。「サービスのクライアント」はトロイの木馬のサンプルを作成するための材料を受け取ります。そのため、その署名は頻繁に変更することができ、アンチウイルスソフトウェアによる検出をほとんど不可能にしています。このトロイの木馬は、感染したデバイス上に保存された情報を収集し、それらを全てC&Cサーバーへ送信します。送信された情報は処理され、料金を払った「ユーザー」がアクセス可能な管理パネル上に置かれます。パネルのグループは複数あり、さらに各パネルはボットネット管理やログベース管理など複数のパートに分かれています。受信するデータはサイバー犯罪者の求める情報（ログインやパスワードなど）に応じてフィルタリングされます。

Doctor Webスペシャリストによると、 Trojan.Dyre のインフラストラクチャは金融機関を狙った他の悪意のあるプログラムと比べて遥かに複雑であるという点で、比較的ユニークなものとなっています。多くの場合、感染したシステム上で収集された情報はボットのコントロールパネルが置かれたサーバーへ送信されます。一方、 Trojan.Dyre には様々なテクノロジーが導入されており、犯罪組織の持つ財政的および人的資源の豊富さを物語っています。例えば、このトロイの木馬ではボットから受け取った情報を処理するサーバーは.Netで書かれ、ボットネットの管理パネルはphpフレームワーク Kohana を使用して作成されています。世界中のあらゆる場所から受け取る一連のデータの保存・処理には PostgreSQL および MySQL データベース、 Sphinx 全文検索サーバーが使用されます。受信する全ての情報は、サイバー犯罪者が関心のある情報（ログイン、パスワード、銀行カード番号、ユーザーの個人情報など）を素早く見つけることができるよう、特別なフィルターによってフィルタリングされます。また、サーバーの検出を困難にするため、 OpenVPN を使用して組み合わせたTorサーバーとプロキシサーバーが使用されています。 Trojan.Dyre を用いた攻撃の主な特徴として、このトロイの木馬はハッキングされルーティングテーブルの改変されたルーター上のプロキシの最初の層に置かれるという点が挙げられます。 Wi-fi ルーターはブルートフォース攻撃でパスワードを解読することによってハッキングされています。これは、ユーザーの多くがルーターのデフォルト設定を変更せず、システムの感染経路にルーターが使用されるなどということは想像もしていないという事実を悪用したものです。

Doctor Webアナリストは、 Trojan.Dyre の使用するC&Cサーバーの複数のアドレスを特定することに成功しました。また、 Trojan.Dyre のインフラストラクチャのエレメントを明らかにし、感染したシステムから受信する接続の一部を傍受することで、欧州にあるいくつかの銀行および一部の国の法執行機関に対して重要な情報をタイムリーに提供しています。

メディアで報道されている情報とは異なり、Doctor Webでは Trojan.Dyre は未だ脅威であると考えています。このトロイの木馬のサンプルを含んだスパムメールが定期的に確認されており、このことはインフラストラクチャの一部のサーバーが未だ活動を続けていることを意味しています。したがって、 Trojan.Dyre の物語は今後も「To be continued （続く）」と言ったほうがよいでしょう。