この頃、Babarというマルウェアの奇妙な事件にまつわる研究や報道が相次いでいる。SNOWGLOBEと称される高度な諜報作戦の疑惑に関わりがあるマルウェアだ。
フランスのルモンド紙がメディアとして初めてSNOWGLOBEを取り上げたのが約1年前だ。他でもないエドワード・スノーデンその人が漏えいした、SCECの極秘スライドについての記事を掲載した。一連のスライドの中には、内部的にBabarと自称する、フランス発祥のマルウェアに関して数々の主張がある。セキュリティコミュニティがBabarに似たサンプルを掘り下げるまでに、長い時間はかからなかった。[1] [2] [3]
Bunnyや、BunnyとBabarとの繋がりについて、我々ははっきりとは説明できない。BunnyとEvilBunnyについては我々は多くの研究成果を得ており、すでにセキュリティコミュニティによく知られた存在だ。しかしBabarのこととなると、謎の多い極秘スライドのスクリーンショットしか持ち合わせていないのだ。しかしながら、SCECのスライドで述べられているとおり、BunnyとBabarには十分に相関関係があり、同じ諜報ツールファミリーに属している、と高い確度で言えるだろう。
事実1。 双方の作戦は、共に主として2010〜2011年に活発であったように見受けられる。これはBunny PEのヘッダのタイムスタンプと、CSECのスライドが2011年からである点より明白だ。
事実2。 前述のスライド内で記載されたUser-Agentのタイプミスと同じものが、一部のBunnyのサンプルに存在する(MSIEの代わりにMSIと記述。SCECのスライドのSNOWBALL Beaconsを参照のこと)。偶然の一致のようには見えない。
事実3。 Bunnyとつながりのあるサンプルの1つがntrass.exeという名前のファイルをドロップするが、SCECのスライドでも当該ファイルに触れている。偶然の一致のようには見えない。
事実4。 Bunnyファミリーについての最新の知見では、内部プロジェクトの名称としてBabar64というものが明らかになった。[2] [3]偶然の一致のようには見えない。
事実5。 バニーも小象(訳注:Barbarは「ぞうのババール」という絵本の主人公)も、かわいくてフワフワな小さな動物だ。APTの世界では、まったく一般的でないが。
また、このマルウェアはフランス発祥であると、高い確率で言うことができる。Bunnyのサンプルの一部では、HTTPヘッダでAccept-Language: frを用いている。また内部のネーミングで本当におかしな決定をしている。たとえば、タスクのスレッドを「hearer」としている点だ。 [1]英語でのソフトウェア開発の世界では、こうした種類のタスクにはたいてい「listener」や「monitor」といった名前が付けられる。「hearer」というのは、英語を話す開発者が必ずしも普通に使う単語というわけではない。英語のネイティブスピーカーでない人が、使い慣れた言語から文字面どおりに翻訳したような感じがする。一例を挙げると、フランス語の「auditeur」は「auditor」「listener」「hearer」のように訳される。
しかし、この繋がりについて言えないこともある。最初に、スライド自体に、特定の当事者の名前は挙がっていない。つまりフランスの諜報機関という噂は、現時点で確固とした証拠に基づいているというわけではないのだ。Bunnyがプログラミング言語Luaを使用して機能を拡張しているという事実も、結局のところ混乱を生むことになる(Flameを覚えているか?)。さらに、この点には触れねばならない。帰属についての興味をそそる部分はすべてスライドにある。つまり、それについて一次証拠は何も手に入れていないのだ。またBunnyの複雑さの度合いについて、考慮すべき点もある。TurlaやEquationのような、際立った水準のAPTとはかけ離れているのだ。ただし、もちろんSNOWGLOBEの背後の関係者のレベルが低いことを意味するわけでない。この関係者達がなぜ、暗闇の中で光るクリスマスツリー並みに分かりやすいツールを作ったのか、不思議である。
ハッシュ:
• 2c678924a3d4307644208b199afd20940c058b62
• c923e15718926bb4a80a29017d5b35bb841bd246
