マルウェア「Carberp」を用いたサイバー犯罪グループの活動を追跡しはじめてから、3年が経過しようとしています。追跡が始まったのは2009年、感染が拡大していたCarberpのサンプルが初めて見つかった時のことでした。
2010年初頭までに、Carberpの活動の第二波によって、金融詐欺を目的とした同様のマルウェアファミリー (Win32/Spy.Shiz、Win32/Hodprot) のロシア国内での活動は、駆逐されてしまいました。
調査の第一段階のまとめとして、ESETはCARO (Computer Antivirus Research Organization) 2011年会合において、「Cybercrime in Russia:Trens and issues」と題した発表を行いました。
また2012年には、同会合でその後の調査の結果をまとめた「Carberp Evolution and BlackHole:Investigation Beyond the Event Horizon」という発表をしました。
3つのサイバー犯罪集団が関わっていたCarberpボットネット事件
Carberpの活動を全期間通してみると、3つのサイバー犯罪集団が関わっていたことが分かっています。
第一のグループの活動開始は 2009年のことで、このグループの首謀者は、Carberpの中心的開発者とも直接的な関係がありました。このグループは当初、違法性のないソフトウェアを用いた遠隔操作で、感染したマシンが稼働している時に金銭を手動で盗み出していました。
2010年、Carberpのソースコードは、第2グループの首謀者らに売却され、以降2つのグループが同時並行で活動することになりました。
2011年夏の初めに、Carberpボットネットとしては史上最大のものが、Hodprotボットネット事件の主犯らによって流布され始めました。
2011年10月末には、ブートキット付きCarberpドロッパーの亜種が初めて発見されました。このボットネットは、「オリガミ」というコードネームで呼ばれ、その管理パネルは、下のようになっていました。
Carberpを悪用し、ロシアの主要銀行のシステムを攻撃
このグループは標的としたプラグインを悪用し、ロシアの主要な銀行システムを攻撃し、あるいは人気ソーシャルネットワークでフィッシング詐欺を試みていました。
2011年末には、違法性のないサイトの間でBlackHoleの感染が蔓延し、そこにアクセスしたユーザーがリダイレクトされる被害が大量発生。
さらに2012年4月には、より巧妙なリダイレクトを行うNuclear Packの最新版がBlackHoleに取って代わりました。
進化したCarberp
第一のグループは終始Win32/Sheldorを用いて、手動で金銭を盗み出していましたが、このSheldorが2011年、Win32/RDPdoorに進化しました (違法性のないThinSoft BeTwinソフトウェアがベース)。
最新版Win32/RDPdoorは、スマートカード検知機能を備え、スマートカードを透過的に遠隔操作できるよう、リモートデスクトップ用FabulaTech USBをインストールする機能を持っています。最新版Win32/RDPdoorの管理パネルは下のようになっていました。
3グループの首謀者全員が、ロシアで逮捕
これで3グループの首謀者全員が、ロシアで逮捕されたことになります。最初の逮捕のニュースは、2012年3月に発表されました。続いて第2のグループの主犯の一人が、2012年6月始めに逮捕され、同月末「Origami/Hodprot」の首謀者も逮捕されました。
Win32/RDPdoorの検出統計は次の通りです。
[Live Gridからのクラウドデータ]
Carberpの検出統計は次の通りです。
[Live Gridからのクラウドデータ]
地域別Carberp検出統計:
[Live Gridからのクラウドデータ]
それでもCarberpボットネットはなくならない
Carberpボットネットの首謀者は全員逮捕されたものの、統計上は検出件数が激減しているわけではありません。
Carberpの検出件数は、依然としてロシア地方で最も多く、逮捕がある度に件数は一時的な落ち込みを見せます。経時的な検出グラフでは、逮捕ごとに、統計の6月時点のような下降が見られます。
6月末に、最大のCarberpボットネット「Origami/Hodprot」 (常時数百万のボットを活動させていた) の首謀者が逮捕されました。今回の事件は、大がかりなボットネット犯罪を組織し、巨額の利益 (数百万米ドル)を手にした 全員が逮捕されたという、珍しいケースでした。
出典:blog.eset.com