ゲームオーバー ゼウス
良い記事ですね。詳しくはこちらをクリックしてください。

ゲームオーバー ゼウス
FBIが作成したGOZの概要図
マルウェアの詳細
分類トロイの木馬
家族ゼウス
著者エフゲニー・ボガチェフ

GameOver ZeuS ( GOZ ) は、ピアツーピア( P2P ) ZeuSZeuS3GoZeusとも呼ばれ、ロシアのサイバー犯罪者 Evgeniy Bogachev が開発したトロイの木馬です。Bogachev の別のプロジェクトであるJabber Zeusの後継として 2011 年に作成されたこのマルウェアは、約 1 億ドルの損害をもたらした銀行詐欺に使用され、数百万ドルの損失をもたらしたCryptoLockerランサムウェア攻撃を実行するための主要な手段となったことで悪名高いマルウェアです。2012 年と 2013 年の活動のピーク時には、50 万台から 100 万台のコンピュータが GameOver ZeuS に感染しました。

オリジナルのGameOver ZeuSは、被害者のコンピュータにマルウェアをダウンロードさせるウェブサイトへのリンクを含むスパムメールを通じて拡散しました。感染したコンピュータはその後、当時世界で最も洗練され安全なボットネットの1つと考えられていたボットネットに統合されました。GOZボットネットは、その分散型のピアツーピアのインフラストラクチャが特に目立っており、ルートキットなどの他のセキュリティ対策と相まって、ボットネットのシャットダウンを極めて困難にしていました。ボットネットの活動はさらに、主にロシアと東ヨーロッパを拠点とするBogachevをリーダーとする組織犯罪グループによって指揮されていました。このシンジケートは、大規模なマネーロンダリングネットワークとDDoS攻撃を使用して、法執行機関とセキュリティ研究者による対抗の試みをさらに複雑にし、これらは報復と窃盗中の陽動作戦の両方に使用されました。

2014年、オリジナルのGameOver ZeuSボットネットは、複数国の法執行機関と民間サイバーセキュリティ企業の協力による「Operation Tovar」作戦によって閉鎖されました。Bogachevはその後まもなく起訴され、逮捕につながった情報に対して300万ドルの報奨金が支払われました。これは当時、サイバー犯罪者への報奨金としては史上最高額でした。「Operation Tovar」作戦の実行から2か月も経たないうちに、GameOver ZeuSの新しい亜種が発見されました。「newGOZ」と名付けられたこの亜種は、ピアツーピア機能を備えていませんでしたが、コードベースの90%はオリジナルのGOZと共通していました。オリジナルのGameOver ZeuS管理者がnewGOZの作成以来、その活動に関与していたかどうかは議論の的となっています。

背景と初期の歴史

ゼウス

Zeusは2007年に初めて登場したトロイの木馬および関連クライムウェアのファミリーです。[ 1 ] [ 2 ] Zeusの亜種の主な特徴は、感染したマシンをボットネット(マルウェアを介して遠隔操作できる複数のデバイスのシステム)に統合する機能です。[ 3 ]

オリジナルのZeusの製作者であり主な開発者は、エフゲニー・ボガチェフ(別名「lucky12345」および「slavik」)でした。[ 4 ] [ 5 ] Zeusのオリジナルバージョンは「キットマルウェア」で、サイバー犯罪者になりそうな人はZeusのコピーを使用するライセンスを購入するか、無料の低品質バージョンを入手しました。 [ 6 ] [ 7 ]ライセンスがあれば、購入者はZeusを使って独自のトロイの木馬を作成し、自由に使うことができました。[ 8 ] 2010年後半、ボガチェフはサイバー犯罪から引退し、ZeusのコードをSpyEyeという競合他社に引き渡すと発表しました。セキュリティ研究者はこの動きを懐疑的に見ていました。というのも、ボガチェフは以前にも何度か引退を発表するたびに、改良版のZeusで復帰していたからです。[ 9 ]ボガチェフは実際には引退しておらず、Zeusをキットマルウェアとして一般の犯罪組織に販売していた段階から、より限定された顧客層にトロイの木馬の完全版へのアクセスを販売する段階に移行していた。[ 10 ]このZeusの「プライベート」バージョンは、Zeus 2.1、またはJabber Zeusとして知られるようになった。Jabber Zeusを利用した犯罪は、ボガチェフが主要メンバーであった組織犯罪シンジケートによって実行されていたが、2010年に警察の介入によりほぼ解散した。[ 11 ]

起源と名前

GameOver ZeuSは、Zeus 2.1のアップデートとして2011年9月11日に作成されました。[ 12 ] 2011年5月、Zeusのソースコードが漏洩し、亜種が急増しました。[ 13 ] [ 14 ]セキュリティ研究者は、漏洩の犯人はボガチェフか、SpyEyeの作者であるアレクサンドル・パニンだと様々に考えています。[ 15 ]サイバーセキュリティアドバイザーのショーン・サリバンは、この漏洩はボガチェフにとって都合が良く、捜査官が新しいZeusの亜種に気を取られている間に、彼は新しい犯罪事業に再び集中することができたと指摘しました。

研究者たちは2011年にGameOver ZeuSボットネットの存在に気づきました。2012年1月、FBIは企業に対しGOZに注意するよう警告を発しました。[ 16 ]「GameOver ZeuS」という名前はセキュリティ研究者によって考案されたもので、C2チャネルで使用される「gameover2.php」というファイルに由来しています。[ 11 ] [ 17 ]には、ピアツーピアZeuS、ZeuS3、[ 18 ]、GoZeusなどとも呼ばれています。[ 19 ]このマルウェアは、ボガチェフの犯罪ネットワーク内ではMapp 13として知られていました。「13」はバージョン番号です。[ 12 ]

犯罪行為

やり方と管理

GameOver ZeuSは、オンライン小売業者、金融機関、携帯電話会社など、様々なグループを装ったスパムメールによって拡散されました。これらのメールには、マルウェアがダウンロードされた不正なウェブサイトへのリンクが含まれていました。これらのスパムメールは、サイバー犯罪者がスパム送信に頻繁に利用していた別のボットネット「Cutwail 」を介して送信されていました。 [ 13 ]

GameOver ZeuSの使用は、ボガチェフ氏と「ビジネスクラブ」を自称するグループによって管理されていました。ビジネスクラブは主に、GOZのインターフェースを利用するために料金を支払った犯罪者で構成されていました。2014年までにビジネスクラブのメンバーは約50人に達し、[ 11 ]主にロシア人とウクライナ人でした。[ 20 ]ネットワークはマルウェアの技術サポートスタッフも雇用していました。[ 21 ]犯罪ネットワークのメンバーはロシア全土に広がっていましたが、ボガチェフ氏のような中核メンバーは主にクラスノダールに拠点を置いていました。[ 4 ]ビジネスクラブのメンバーはGOZのみを使用しているわけではなく、他のマルウェアネットワークのメンバーであることも多かったです。[ 22 ]それでもなお、米国司法省(DOJ)は、グループのメンバーは「緊密に結束している」と評しました。[ 23 ]

ビジネスクラブに加えて、盗難資金の洗浄のために多数のマネーミュールが採用されました。疑惑を避けるため米国に拠点を置くミュールは、GOZボットネットから送られてきたスパムメールを通じて、パートタイムの仕事のオファーを受けながら採用されました。[ 24 ]マネーミュールは、盗難資金を扱っていることや犯罪シンジケートのために働いていることを認識していませんでした。[ 25 ]

このビジネスクラブは2011年から2014年までGameOver ZeuSのすべての活動を管理していました。シンジケートは主にGOZを使って銀行詐欺や恐喝を行っていましたが、クリック詐欺やボットネットの貸し出しなど、他の収入源も存在することが知られていました。[ 11 ]

銀行強盗とインターフェース

GameOver ZeuSは、一般的に病院などの銀行の認証情報を盗むために使用されました。これは主にキーストロークのロギングによって行われました。[ 26 ]しかし、このマルウェアはブラウザハイジャックを利用して二要素認証を回避することができ、インターフェースにはこれらのマン・イン・ザ・ブラウザ攻撃を容易にするための特別な「トークングラバー」パネルがありました。[ 27 ]このパネルは「World Bank Center」というタイトルで、「we are playing with your banks(私たちはあなたの銀行を弄んでいます)」というスローガンが付けられていました。[ 4 ]犯罪者は、被害者に偽の銀行ログインページを表示することで、被害者の口座にログインするために必要なコードや情報を要求できます。被害者がこの情報を使って偽のページに「ログイン」すると、「お待ちください」というメッセージやエラー画面が表示され、その間に認証情報が犯罪者に送信されます。この情報を使って、マルウェアの運営者は銀行口座にアクセスし、通常は数十万ドルから数百万ドルに上る金銭を盗むことができます。[ 27 ] [ 11 ]ある事件では、1人の被害者から690万ドルが盗まれました。[ 28 ] 2013年には、この方法で行われた窃盗事件の38%がインド政府によるものでした。[ 29 ]

2011年11月以降、GOZの運営者は、多額の金銭を盗む際に、被害者のログインを阻止し、ネットワーク管理者の注意を窃盗から逸らすために、銀行のウェブサイトに対してDDoS攻撃を仕掛けるようになりました。DDoS攻撃は、「Dirt Jumper」と呼ばれる市販のキットを使用して実行されました。[ 13 ] [ 30 ]盗まれた金銭は、犯罪者の手に渡る前に、大規模なマネーミュールネットワークを経由して送られ、その出所と送金先は当局から隠蔽されました。[ 24 ] 2014年6月までに、米国だけで1億ドル以上が盗まれました。[ 31 ] [ 32 ]

資金の横流しは昼夜を問わず行われ、オーストラリアから始まり、アメリカで終わった。資金移動に関わった犯罪者は月曜日から金曜日まで9時から5時までのシフト勤務を行い、シフト終了時には西側のチームに業務を引き継いだ。[ 4 ]マネーミュールによる資金移動の最終目的地の多くは、中国黒龍江省饒河県と綏芬河市に拠点を置くダミー会社であった。この2つの地域は中露国境に位置していた。[ 33 ]

ボットネットを制御するインターフェースは、ボットが記録したデータを読み取り、コマンドを実行するために使用できました。[ 34 ]トークングラバーパネルに加えて、銀行口座からの資金の吸い上げを容易にするための別のパネルも存在し、ユーザーは間接的に送金される「宛先口座」を選択できました。[ 35 ]ボットネット管理者は、感染したシステムに対して使用する独自のスクリプトをロードすることもできましたが、ロシアのコンピュータを攻撃することはできないという条件付きでした。[ 36 ]

クリプトロッカー

2013年、このビジネスクラブはGameOver ZeuSを利用してCryptoLockerを配布し始めた。これは被害者のコンピュータの内容を暗号化し、復号キーと引き換えにプリペイドの現金バウチャーまたはビットコインでの支払いを要求するランサムウェアの一種である。 [ 24 ]タフツ大学のサイバーセキュリティ政策助教授ジョセフィン・ウォルフは[ 37 ]、ランサムウェアに方向転換した動機は2つの理由からだと推測している。第1に、ランサムウェアは銀行強盗よりも安全にGOZから金を稼ぐ手段だった。ランサムウェアは犯罪者の手間をかけずに被害者から金を奪うことができ、匿名の支払い方法はマネーミュール[ 24 ]を介してロンダリングする必要がないためだ。マネーミュールは犯罪者のために働いていることを知らないため、その忠誠心が疑問視されていた。第二に、ランサムウェアは、感染したコンピュータ上の、被害者にとっては重要だが犯罪者にとっては直接の価値がない写真やメールなどのデータに犯罪者がアクセスできることを悪用した。[ 38 ]ジャーナリストのギャレット・グラフも、ランサムウェアは、直接盗むには少額すぎる銀行残高を持つ被害者から金銭を引き出すことで、「無駄足を利益に変える」役割を果たしたと示唆している。[ 11 ]

2013年以降、20万台から25万台のコンピュータがCryptoLockerの攻撃を受けた。[ 28 ] [ 39 ] Bogachevと仲間がCryptoLockerで稼いだ金額は不明である。Wolffは、2013年10月から12月の1か月間で2,700万ドルが盗まれたと主張している。[ 40 ]しかし、オリジナルのGameOver ZeuSボットネットの崩壊に貢献した研究者の一人であるMichael Sandeeは、CryptoLockerの活動期間中全体で300万ドルというはるかに低い推定をしている。[ 41 ] Wolffは、GameOver ZeuSの遺産はその革新的なP2Pボットネット構造にあるのではなく、将来のランサムウェア攻撃のためにCryptoLockerに設定された前例にあると主張している。[ 42 ]

スパイ活動

ボットネットの分析により、特にジョージア、トルコ、ウクライナ[ 43 ]、そしてアメリカ合衆国において、侵入されたコンピュータ上の機密情報や機密情報を探そうとする試みが明らかになった。専門家は、GameOver ZeuSがロシア政府のためにスパイ活動にも利用されていたと考えている。[ 44 ]ウクライナのボットネットがこのような検索を開始したのは、 2014年の革命で親ロシア政権が崩壊した後のことである。[ 45 ] OPEC加盟国も標的となった。[ 20 ]検索は標的国に合わせて調整された。ジョージアでの検索では特定の政府関係者に関する情報、トルコでの検索ではシリアに関する情報、ウクライナでの検索では「連邦保安局」や「警備員」といった一般的なキーワードが使用され、[ 46 ]アメリカ合衆国での検索では「極秘」や「国防総省」といった語句を含む文書が検索された。[ 44 ]スパイ活動に利用されたボットネットは、金融犯罪に利用されたボットネットとは別に運営されていた。

スパイ活動の責任者が誰であったかは不明である。オリジナルのGOZボットネットの閉鎖に貢献したセキュリティ研究者のティルマン・ワーナーは、パートナーまたはクライアントが関与していた可能性を示唆しているが、サンディーはボガチェフが主たる、あるいは単独で関与していたと主張し、マルウェアの監視プロトコルへのアクセス権をボガチェフが独占していたこと、そして彼の犯罪仲間にウクライナ人が含まれていたため、スパイ活動を秘密にしなければならなかったと主張している。[ 46 ]サンディーは、ボットネットがスパイ活動に利用されていたことでボガチェフは「ある程度の保護」を受けており、それが彼がロシアで実名で公然と生活しているにもかかわらず、いまだ逮捕されていない理由を説明できるのではないかと推測している。[ 47 ] [ 44 ]

技術的特徴

ボットネットの構造

GOZボットネット構造の3層構造図。最下層では、複数のボットが相互に通信しています。一部のボットはプロキシボットとしてマークされています。この層のキャプションは「ボット層:ボットのピアツーピアネットワーク。ボットは互いに通信できますが、プロキシボットのみがプロキシ層と通信できます。」です。中間層では、下層のプロキシボットがサーバーにデータを送信します。この層のキャプションは「プロキシ層:犯罪者が所有するサーバー。ボットとC2層の間に距離を置く層。」です。最上層では、中間層のサーバーが別のサーバーにデータを送信します。この層のキャプションは「C2層:犯罪者が直接運営するサーバー。コマンドの送信やボットからのデータの受信に使用されます。」です。
GOZボットネット構造の図

ボットネット構築機能はすべてのZeus亜種に共通していましたが、GameOver ZeuS以前のマルウェアのバージョンでは、感染したすべてのデバイスがコマンドアンドコントロール(C2)サーバーに直接接続される集中型のボットネットが作成されました。[ 48 ] GOZは、分散型のピアツーピア(P2P)インフラストラクチャを使用することで、以前の例とは一線を画していました。[ 48 ]このインフラストラクチャでは、感染したコンピューターはC2サーバーではなく、主に互いに通信していました。[ 49 ] 2012年から2013年にかけてのGOZの活動のピーク時には、ボットネットは50万台から100万台の侵害されたコンピューターで構成されていました。[ 50 ]

ボットネットは3層構造でした。最下層は感染マシンで構成され、その一部は犯罪グループによって「プロキシボット」と手動で指定されていました。プロキシボットは、最下層と、犯罪グループが所有する専用サーバーで構成される第2プロキシ層との間の仲介役を務めました。第2層は、感染マシンと最上層との間に距離を設ける役割を果たし、最上層からコマンドが発行され、感染マシンからデータが送信されます。[ 51 ]このインフラストラクチャにより、ボットネット管理者は一度に感染コンピューターのごく一部としか直接通信できないため、ボットネットのC2サーバーの追跡が困難になりました。[ 52 ]ボットネット全体はこのように構成されていましたが、ネットワークは複数の「サブボットネット」に分割され、それぞれが異なるボットマスターによって運営されていました。[ 53 ]これらのサブボットネットは最大27個存在していましたが、すべてが実際に使用されているわけではなく、デバッグ目的で存在するものもありました。[ 21 ]

安全

GOZには、特にクローラーやセンサーの活動を制限することでボットネットの完全な分析を阻止し、シャットダウンの試みも阻止するためのセキュリティ機能が複数搭載されていました。これらの機能の多くは、Zeusの以前のバージョンで一般的に使用されていた攻撃手法に対抗するために実装されました。[ 56 ]また、GameOver ZeuSはセキュリティ研究者のデニス・アンドリエッセとハーバート・ボスによって「大幅な進化」を遂げ、以前のバージョンよりも耐性が強くなっていると指摘されました。[ 57 ]これらのメカニズムの有効性により、GOZは高度なボットネットとみなされ、[ 58 ]米国司法副長官のジェームズ・M・コールはこれを「これまで遭遇した中で最も高度で有害なボットネット」と呼んでいます。[ 59 ]連邦捜査局(FBI)に招聘されGameOver ZeuSを分析するサイバーセキュリティ研究者のブレット・ストーン=グロスも同様に、このボットネットは法執行機関やセキュリティ専門家の攻撃に対して十分に保護されていることを認めています。[ 60 ]

クローラーは様々な手段で阻止されていました。各ボットは50のピアを持っていましたが[ 61 ]、ピアリストの提供を要求されたボットは10のピアしか返しませんでした[ 62 ] 。さらに、ピアリストの要求にはレート制限があり、IPアドレスからの要求が多すぎると、そのアドレスはクローラーとしてフラグ付けされ、自動的にブラックリストに登録されます[ 63 ]。これにより、フラグ付けされたIPとフラグ付けを行ったボット間のすべての通信が停止されます。各ボットには、セキュリティ組織によって管理されていることが知られているブラックリストに登録されたアドレスの既存のリストもありました[ 64 ] 。

センサーはIPフィルタリング機構によって抑制されており、複数のセンサーが1つのIPアドレスを共有することを防ぎました。これにより、1つのIPアドレスを持つ個人またはグループがボットネットに対してシンクホール攻撃を実行するのを阻止できました。 [ b ] [ 66 ] GOZのボットマスターは、シンクホール攻撃への対応としてDDoS攻撃を実行したことが知られています。 [ 67 ]

GOZボットがどのピアにも接続できない場合、ドメイン生成アルゴリズム(DGA)を使用してC2サーバーとの接続を再確立し、新しいピアのリストを取得します。[ 68 ] DGAは毎週1000のドメインを生成し、各ボットはすべてのドメインへの接続を試みます。つまり、ボットネットの現在のC2サーバーがシャットダウンの危機に瀕した場合、ボットマスターは生成されたリスト内のドメインを使用して新しいサーバーを設定し、ネットワークの制御を再確立できます。[ 52 ]サーバー自体は防弾ホスティングサービスによって提供されており、サーバーには実際のIPアドレスがないため、停止が困難でした。トラフィックはどのデバイスにも対応しない仮想IPアドレスからルーティングされていました。したがって、アドレスを停止してもサーバーには影響しません。[ 69 ]

ボット間の通信は暗号化されていました。このアルゴリズムは時間の経過とともに変化しました。2013年6月以前は、GOZはXOR暗号を使用していましたが、2013年6月以降の新しいボットはRC4を使用し、ボットネットへの侵入をより困難にしました。さらに、ボットネットの管理者からの重要な通信はRSA署名されていました。[ 70 ]

このマルウェアには、ネットワークに関する詳細なログを提供する特別な「デバッグビルド」が存在しました。このデバッグビルドは、ボットネットに対するセキュリティ研究者の活動に関する洞察を得て、適切な対応策を策定するために存在していました。[ 22 ]このマルウェア自体も、ルートキットが含まれていたため、削除が困難でした。 [ 71 ]このルートキットであるNecursは、別のマルウェアから取得されました。[ 72 ]

調査、削除、そして再出現

b71作戦

2012年3月25日、マイクロソフトはGameOver ZeuSが「前例のない、業界横断的なプロアクティブな作戦」(コードネーム「Operation b71」)によって妨害されたと発表した。[ 73 ] [ 74 ]この作戦は、データプライバシー規範に違反し、正当なドメインを意図せず停止させ、[ 75 ]ボットネットの作成者と管理者に対する刑事捜査を妨害したとして、コンピュータセキュリティ専門家から広く批判された。 [ 76 ] Sandeeのブログ記事では、この作戦を「無責任」で「大きな後退」と評している。[ 77 ] Operation b71は、ピアツーピアアーキテクチャのため、GameOver ZeuSを最終的にシャットダウンできなかった。[ 13 ] 2012年から2013年1月にかけて、セキュリティ研究者がボットネットをシャットダウンしようとした他の2つの試みも失敗に終わった。[ 11 ]

トバール作戦

オリジナルのGameOver ZeuSボットネットは、FBIが指揮し、CrowdStrikeMcAfeeカーネギーメロン大学など約20の企業や民間機関[ 78 ] [ 16 ]も参加した「 Operation Tovar 」というコードネームの国際法執行機関によって閉鎖された。[ 79 ] Operation Tovarの計画は2012年に始まり、FBIはGOZに対抗するために民間のサイバーセキュリティ企業と協力し始めた。[ 80 ] 2014年までに、[ 11 ]英国当局もFBIに、英国にあるGOZが管理する不正取引の記録を含むサーバーに関する情報を提供した。サーバーの情報と元マネーミュールへのインタビューを組み合わせることで、FBIはGOZのボットネットインフラを理解し始めることができた。ボガチェフは、彼の電子メールにアクセスするために使用されたIPアドレス(情報提供者によって提供された)とボットネットを管理するために使用されたIPを相互参照することによって、GameOver ZeuSネットワークの責任者として特定された。[ 16 ] [ 81 ]彼は仮想プライベートネットワーク(VPN)を使用してアドレスを隠していたが、両方のタスクに同じアドレスを使用していた。[ 82 ] Operation Tovarチームは、マルウェアのDGAをリバースエンジニアリングし、ボットネットを復元しようとするあらゆる試みを先取りし、そのような試みを政府管理のサーバーにリダイレクトできるようにした。カナダ、ウクライナ、カザフスタンにあるGOZのC2サーバーは当局によって押収され、[ 83 ]ウクライナが2014年5月7日に最初に押収した。米国当局はウクライナに5月29日に押収を開始するよう求めていたが、露ウクライナ戦争のために前倒しされた。[ 79 ]

準備が整ったトヴァル作戦は5月30日に開始され、4~5時間で完了した。この作戦はシンクホール攻撃であり、ボットと指令サーバー間の通信を遮断し、通信を前述の政府管理サーバーにリダイレクトした。[ 80 ] GOZが管理するドメインはアメリカの管轄外であるロシアで登録されていたため、法執行機関は米国に拠点を置くインターネットサービスプロバイダーに対し、GOZが管理するドメインへの問い合わせをロシアに届く前にFBIが管理するサーバーに誘導するよう指示した。[ 84 ]作戦の技術的詳細は大部分が機密扱いとなっている。[ 83 ]さらに、カナダ、フランス、ドイツ、ルクセンブルク、オランダ、ウクライナ、イギリスの法執行機関は5月30日から主要なGOZサーバーの押収を開始した。[ 85 ]

6月2日、米国司法省はトヴァル作戦の結果を発表した。ボガチェフに対する起訴状も同日公開された。[ 86 ]しかし、当局はボットネットが2週間以内に再び出現する可能性が高いと警告した。[ 87 ] 7月11日、司法省は作戦の結果、GOZの感染が32%減少し、感染したコンピュータのほぼすべてが「犯罪者の支配から解放された」と発表した。[ 42 ] [ 88 ] 2015年2月24日、司法省はボガチェフの逮捕につながる情報に対して300万ドルの報奨金を発表した。[ 89 ]これは当時、サイバー犯罪者への報奨金としては史上最高額だった。[ 50 ] [ c ]ボガチェフは2024年現在も指名手配中である。 [ 93 ]

「newGOZ」として再登場

トバー作戦の実行から5週間後、セキュリティ企業Malcoveryは、スパムメールを通じて拡散しているGOZの新たな亜種を発見したと発表した。このマルウェアは、以前のGOZバージョンとコードベースの約90%を共有していたにもかかわらず、ピアツーピアのボットネットを構築せず、フィッシングサイトやマルウェア配信サイトを、プロキシとして機能する侵入システムの急速な変化によって隠蔽する手法であるFast Fluxを用いてボットネット構造を構築した。 [ 94 ]「newGOZ」と名付けられたこの亜種の起源と作成動機は不明である。Sandeeは、newGOZはマルウェアのソースコードを漏洩させ、Bogachevが潜入するための「トリック」だと考えていた。[ 14 ]しかし、Malcoveryの最初の報告では、この新しいトロイの木馬はボットネットを復活させようとする真剣な試みであると主張していた。[ 95 ]オリジナルのGameOver ZeuSボットネットとnewGOZボットネットは別個の存在であった。それぞれのDGAによって生成されたドメインのリストは、アルゴリズムが類似しているにもかかわらず異なっており、元のGOZボットネットはMalcoveryによって依然として「ロックダウン」されていると説明されました。[ 96 ]

この新しいマルウェアは2つの亜種に分かれていました。それぞれの亜種は、DGAによって生成されるドメイン数(1つは1日あたり1,000ドメイン、もう1つは10,000ドメイン)と感染地域(前者は主に米国のシステムに感染し、後者はウクライナとベラルーシのコンピュータを標的としていました)の2つの点で異なっていました。 [ 97 ] 2014年7月25日時点で、8,494台のマシンがnewGOZに感染したと推定されています。[ 98 ]携帯電話を標的とする「Zeus-in-the-Middle」など、他のGOZ亜種も報告されています。[ 99 ] 2017年現在、Zeusの亜種はすべてのバンキングマルウェアの28%を占めています。[ 100 ]しかし、Sandee氏は、Zeusの市場シェアの多くが新しいマルウェアに奪われていると主張しています。[ 14 ]

参照

類似のロシアおよび東ヨーロッパのサイバー犯罪グループ:

類似のボットネット:

注釈と参考文献

注記

  1. ^ P2Pボットネット監視の文脈では、クローラーとは、ボットネットの通信プロトコルを使用して、特定のボットのピアを要求し、元のボットのピアリスト内の各ボットからピアのリストを要求し、ボットネット全体がマッピングされるまでこれを繰り返すプログラムです。 [ 54 ]センサー複数のボットのピアリストに侵入し、ネットワーク内のボットからの接続試行を記録します。 [ 55 ]
  2. ^シンクホールとは、ボットネット内に特殊なセンサーを設置することでボットネットをダウンさせる手法である。シンクホールとも呼ばれるこのセンサーは、ボットとそのコントローラー間の通信を遮断する。 [ 65 ]
  3. ^その後、2019年12月5日に発行されたEvil Corpの責任者であるマクシム・ヤクベッツの逮捕につながる情報に対して500万ドルの報奨金が支払われ、この額を超えました。 [ 90 ]ヤクベッツはGOZシンジケートのメンバーであり、以前はジャバーゼウスクルーの一員としてボガチェフと協力していました。 [ 91 ] [ 92 ]

参考文献

  1. ^ Andriesse & Bos 2014、p. 1.
  2. ^ハッチングス&クレイトン 2017、33ページ。
  3. ^ハンナ、カイル、ジャンヴェッキオ、スティーブン(2015年1月)「Zeuslite:教室におけるボットネット分析ツール」『Journal of Computing Sciences in Colleges30 (3): 110– 111. eISSN  1937-4763 . ISSN  1937-4771 . S2CID  62376600 .
  4. ^ a b c d Krebs, Brian (2014年8月5日). 「1億ドル規模の『ビジネスクラブ』犯罪組織の実態」 . Krebs on Security . 2023年5月27日時点のオリジナルよりアーカイブ。 2023年7月8日閲覧
  5. ^ Krebs, Brian (2015年2月25日). 「FBI:ZeuSトロイの木馬作者に300万ドルの懸賞金」 . Krebs on Security . 2023年4月7日時点のオリジナルよりアーカイブ。 2023年5月5日閲覧
  6. ^ Peterson, Sandee & Werner 2015 , 6:14–6:36:「基本的に、Zeusは10年近く存在しており、私たちが区別する最初の2つのバージョン(最初の2つのバージョンは基本的に同じですが、以前のバージョンの進化版のようなもの)はキットマルウェアとして販売されていました。そして、『キットマルウェア』とは、実際に購入して自分のサーバーにインストールでき、基本的にサポートパッケージを購入するだけで最新のアップデートを入手できることを意味します。」
  7. ^ロドリゲス、ミランダ(2016年春) 「あなたの知的財産権はすべて私たちのもの:マルウェアに適用される知的財産の分析」テキサスA&Mローレビュー。3 ( 3):669。doi : 10.37419 / LR.V3.I3.7。ISSN 2572-7044。OCLC 8091322789。S2CID 168624023   
  8. ^ハッチングス&クレイトン 2017、34~35頁。
  9. ^ Bartz, Diane (2010年10月29日). 「分析:トップハッカーが『引退』;専門家は彼の復帰に備える」 .ロイター. 2022年12月10日時点のオリジナルよりアーカイブ。 2023年7月23日閲覧
  10. ^ Peterson, Sandee & Werner 2015 , 6:37–7:01:「2010年、Zeusの作者である『slavik』は、基本的にZeusのサポートを終了し、サポートを他者に引き継ぐと発表しました。引退すると宣言していましたが、実際にはプライベートブランチを立ち上げ、キットマルウェアとして販売するのではなく、Zeusのマネージドサービス版としてのみ販売していました
  11. ^ a b c d e f g h Graff, Garrett M. (2017年3月21日). 「ロシアで最も悪名高いハッカー捜索の裏側」 . WIRED . 2023年4月23日時点のオリジナルよりアーカイブ。 2023年7月8日閲覧
  12. ^ a b Peterson、Sandee & Werner 2015、8 :17–8:37:「それから1年後の2011年9月11日に、彼らは基本的にこの2.1バリアントからピアツーピアのZeuS(内部的にはMapp、バージョン番号13として知られています)にアップグレードしました。彼らには開発とテスト専用の以前のバージョンがいくつかありました。」
  13. ^ a b c d Stone-Gross, Brett (2012年7月23日). 「Peer to Peer (Gameover) ZeuSのライフサイクル」 . Secureworks . 2023年5月28日時点のオリジナルよりアーカイブ。 2023年7月16日閲覧
  14. ^ a b cサンディー 2015、5ページ。
  15. ^ Zetter, Kim (2014年1月28日). 「悪名高い銀行ハッキングツールの開発者、有罪を認める」 . WIRED . 2025年2月23日時点のオリジナルよりアーカイブ。 2025年3月17日閲覧
  16. ^ a b c Lawrence, Dune (2015年6月18日). 「金融業界で最も指名手配されているハッカーの捜索」 . Bloomberg News . 2022年5月8日時点のオリジナルよりアーカイブ。 2025年3月17日閲覧
  17. ^ Peterson、Sandee、Werner 2015、7 :19–7:27:「『GameOver ZeuS』という名前は、起動時に『gameover2.php』を使用していたコマンドアンドコントロールチャネルに由来しています。」
  18. ^サンディー 2015、2ページ。
  19. ^ Hay, Andrew (2020年3月5日). 「Gameover ZeuS、P2PからDGAへ移行」 . Cisco Umbrella . 2023年5月30日時点のオリジナルよりアーカイブ2023年7月8日閲覧。
  20. ^ a b Korolov, Maria (2015年8月7日). 「GameOver ZeuSの犯罪者がトルコ、ジョージア、ウクライナ、OPECをスパイ」 . CSO Online . 2023年7月16日時点のオリジナルよりアーカイブ。 2023年7月16日閲覧
  21. ^ a bサンディー 2015、6ページ。
  22. ^ a bサンディー 2015、9ページ。
  23. ^ザガリス、ブルース(2014年9月)「多国間行動により『Gameover Zeus』ボットネットと『Cryptolocker』ランサムウェアが阻止、米国が指導者を刑事告発」国際法執行レポーター30 (9):360. ISSN 1063-083X .   –  HeinOnline経由(購読が必要)
  24. ^ a b c d Wolff 2018、63ページ。
  25. ^ Wolff 2018、65ページ。
  26. ^ Wolff 2018、62ページ。
  27. ^ a bサンディー 2015、16~17頁。
  28. ^ a b Perez, Evan (2014年6月3日). 「米国、数百万ドルを盗んだコンピュータマルウェアを摘発」 . CNN . 2023年6月3日時点のオリジナルよりアーカイブ。 2023年7月21日閲覧
  29. ^エタハー、ウィアー、アラザブ 2015年、1388頁。
  30. ^ Krebs, Brian (2011年11月30日). 「DDoS攻撃は銀行とサイバー強盗の被害者にとって『ゲームオーバー』を意味する」 . Krebs on Security . 2025年1月18日時点のオリジナルよりアーカイブ。 2025年3月13日閲覧
  31. ^ Musil, Steven (2014年6月2日). 「米国、1億ドル規模のGameOver Zeusマルウェアによるサイバー犯罪組織を摘発」 . CNET . 2023年7月16日時点のオリジナルよりアーカイブ。 2023年7月16日閲覧
  32. ^ブレイディ、スコット・W.、キャラハン、コリン・J.(2019年2月)。 「サイバーテイクダウンにおける民事ツールの活用:陥没穴、押収、その他」司法省連邦法実務ジャーナル。67 (1):196。ISSN 1943-9008 
  33. ^サンディー 2015、18~20頁。
  34. ^サンディー 2015、15ページ。
  35. ^サンディー 2015、17ページ。
  36. ^サンディー 2015、7ページ。
  37. ^ Wolff, Josephine (2019年1月27日). 「二要素認証は安全ではないかもしれない」 . The New York Times . 2023年6月27日時点のオリジナルよりアーカイブ。 2023年7月23日閲覧
  38. ^ Wolff 2018、69~70頁。
  39. ^ゴルボック、デイビッド・ギャリソン(2024年)「リモートワーカー、常に存在するリスク:ハイブリッドワークプレイス時代のデータ漏洩に対する雇用主の責任」ケースウェスタン・リザーブ法律・テクノロジー・インターネットジャーナル15 2):326。ISSN 1949-6451 
  40. ^ Wolff 2018、64ページ。
  41. ^サンディー 2015、3ページ。
  42. ^ a b Wolff 2018、68頁。
  43. ^サンディー 2015、21ページ。
  44. ^ a b cシュワーツ、マイケル、ゴールドスタイン、ジョセフ(2017年3月12日)。「ロシアのスパイ活動がサイバー犯罪者のハッキングに便乗」ニューヨーク・タイムズ2023年5月25日時点のオリジナルよりアーカイブ。 2023年7月17日閲覧
  45. ^スティーブンソン、アラステア(2015年8月6日)「ロシア政府は世界で最も悪名高いマルウェアの作成者を保護している可能性がある」 Business Insider2023年4月23日時点のオリジナルよりアーカイブ。 2023年7月16日閲覧
  46. ^ a bブリュースター、トーマス(2015年8月5日)「FBIの最重要指名手配犯、サイバー犯罪の首謀者、米政府に対するロシアのスパイ活動に関与か」フォーブス誌2023年5月8日時点のオリジナルよりアーカイブ2023年7月16日閲覧
  47. ^サンディー 2015、23ページ。
  48. ^ a bエタハー、ウィアー、アラザブ 2015年、1386ページ。
  49. ^ Wang, Ping; Aslam, Baber; Zou, Cliff C. (2010). 「ピアツーピアボットネット」. Stamp, Mark; Stavroulakis, Peter (編).情報通信セキュリティハンドブック.ベルリン: Springer . p. 336. doi : 10.1007/978-1-84882-684-7 . ISBN 978-3-642-04116-7LCCN  2009943513OCLC  801355975OL  16668075WS2CID  2448689
  50. ^ a b Wolff 2018、59ページ。
  51. ^アンドリーゼら。 2013 年、p. 117.
  52. ^ a b Wolff 2018、61頁。
  53. ^アンドリーゼら。 2013 年、p. 116.
  54. ^カルッパヤ 2018、4ページ。
  55. ^カルッパヤ 2018、15ページ。
  56. ^ Rossow, Christian; Andriesse, Dennis; Werner, Tillmann; Stone-Gross, Brett; Plohmann, Daniel; Dietrich, Christian C. (2013年5月19日~22日). 「SoK: P2PWNED — ピアツーピアボットネットの耐性モデル化と評価」(PDF) . 2013 IEEE Symposium on Security and Privacy . IEEE Symposium on Security and Privacy . Berkeley, CA : IEEE . p. 100. doi : 10.1109/SP.2013.17 . ISBN 978-1-4673-6166-8. ISSN  1081-6011 . OCLC  5873591062 . S2CID  7771252 .
  57. ^ Andriesse & Bos 2014、p. 9.
  58. ^カルッパヤ 2018、44ページ。
  59. ^シルバー、ジョー(2014年6月2日)「政府、ボットネット『Gameover ZeuS』とランサムウェア『Cryptolocker』を阻止」. Ars Technica . 2023年6月5日時点のオリジナルよりアーカイブ。 2023年7月21日閲覧
  60. ^スタール、レスリー(2019年4月21日)「ロシア政府とサイバー犯罪者のパートナーシップの強化」CBSニュース2023年1月18日時点のオリジナルよりアーカイブ2023年5月7日閲覧
  61. ^カルッパヤ 2018、40頁。
  62. ^カルッパヤ 2018、20ページ。
  63. ^ Karuppayah 2018、22–23 ページ。
  64. ^カルッパヤ 2018、31ページ。
  65. ^カルッパヤ 2018、79ページ。
  66. ^カルッパヤ 2018、21ページ。
  67. ^カルッパヤ 2018、23ページ。
  68. ^アンドリーゼら。 2013 年、p. 118.
  69. ^ Peterson, Sandee & Werner 2015 , 13:02–13:49: 「例えば、技術的な部分、つまりホスティングについて考えてみましょう。では、彼らはどこからサーバーを入手したのでしょうか?これは時とともに変化してきましたが、特にここ数年は、実在するIPアドレスを持たない、ネットブロックのみのサーバーを所有し、全く異なるISPから仮想IPを取得し、トンネルを介してそれらのサーバーにルーティングするという、できました。そのため、誰かが「仮想IPアドレス」を削除したとしても、ルーティングは停止するだけで、データが保存されている実際のサーバーは安全でした。」
  70. ^ Andriesse & Bos 2014、p. 4.
  71. ^エタハー、ウィアー、アラザブ 2015年、1387頁。
  72. ^ Zorabedian, John (2014年3月4日). 「SophosLabs: Gameoverのバンキング型マルウェア、より巧妙な隠蔽のためのルートキットを搭載」 Sophos News .オリジナルより2023年5月29日時点のアーカイブ。 2023年7月20日閲覧
  73. ^ Boscovich, Richard Domingues (2012年3月25日). 「Microsoftと金融サービス業界のリーダーがZeusボットネットによるサイバー犯罪活動を標的に」 . Microsoft公式ブログ. 2024年10月12日時点のオリジナルよりアーカイブ。 2025年3月19日閲覧
  74. ^ Lardner, Richard (2012年5月1日). 「Microsoft says raid damaged 'Zeus' cybercrime operation」 . MassLive . 2025年3月19日時点のオリジナルよりアーカイブ。 2025年3月19日閲覧
  75. ^ Krebs, Brian (2012年4月16日). 「Microsoft、ボットネット騒動をめぐる批判に応答」 . Krebs on Security . 2025年1月23日時点のオリジナルよりアーカイブ2025年3月19日閲覧。
  76. ^シュミット、アンドレアス (2014). 「ネットワークにおける階層構造:インターネットセキュリティを実現するネットワークと階層構造の新たなハイブリッド」. ヤン=フレデリック・クレーマー、ベネディクト・ミュラー編. 『サイバースペースと国際関係:理論、展望、そして課題』 .ベルリンシュプリンガー. p. 192. doi : 10.1007/978-3-642-37481-4 . ISBN 978-3-642-37480-7LCCN  2013950724OCLC  863229878OL  34375959MS2CID  142926984
  77. ^ Sandee, Michael (2012年4月12日). 「Microsoft Operation B71の批判的分析」 . Fox-IT . 2023年12月10日時点のオリジナルよりアーカイブ2025年3月19日閲覧。
  78. ^ブライアン・クレブス(2014年6月2日)「『オペレーション・トバール』は『ゲームオーバー』のZeuSボットネットとCryptoLockerの脅威を標的に」。Krebs on Security。2023年6月4日時点のオリジナルよりアーカイブ。 2023年7月21日閲覧
  79. ^ a bウィルバー、デル・クエンティン、ストローム、クリス(2014年6月11日)。「FBIのウイルス対策停止で新たなハッカー対策が必要に」ブルームバーグ・ニュース2016年9月8日時点のオリジナルよりアーカイブ2025年3月17日閲覧。
  80. ^ a b Franceschi-Bicchierai, Lorenzo (2015年8月12日). 「FBIはいかにして『不可能』に設計されていたボットネットを破壊したか」 . VICE . 2022年6月22日時点のオリジナルよりアーカイブ。 2023年7月21日閲覧
  81. ^ウォルフ 2018、64~66頁。
  82. ^ Peterson, Sandee & Werner 2015 , 41:06–41:31:「では、これらの人物が誰なのかをどうやって突き止めるのでしょうか?幸いなことに、彼らは常に犯罪者です。ですから、法執行機関として私たちが試みていることの一つは、彼らの私生活と犯罪生活の隙間を攻撃できるような場所を探ることです。そして幸運なことに、VPNの愛用者であるボガチェフ氏は、これらのサーバーのバックエンドを管理するのと同じVPNを使って、個人アカウントへのログインを好んでいました。」
  83. ^ a b Wolff 2018、67ページ。
  84. ^ Lewis, Anthony J. (2019年2月). 「ボットネットの混乱:法的権限と技術的ベクトル」 .司法省連邦法実務ジャーナル. 67 (1): 126. ISSN 1943-9008 . 
  85. ^ナカシマ、エレン(2014年6月2日)「米国、サイバー犯罪組織の活動が国際的な取り組みで阻止されたと主張」ワシントン・ポスト2014年6月3日時点のオリジナルよりアーカイブ。 2025年3月13日閲覧
  86. ^ Trautman, Lawrence J.; Ormerod, Peter C. (2019年冬). 「Wannacry、ランサムウェア、そして企業へ新たな脅威」 ( PDF) . Tennessee Law Review . 86 (2): 512. doi : 10.2139/ssrn.3238293 . ISSN 0040-3288 . OCLC 1304267714. S2CID 169254390. SSRN 3238293 .    
  87. ^ Dignan, Larry (2014年6月2日). 「GameOver Zeusボットネットが押収。当局によると、2週間の猶予期間を設けて自衛を」 ZDNET . 2023年7月2日時点のオリジナルよりアーカイブ。 2023年7月23日閲覧
  88. ^ Carlin, John P. (2016). 「検知、阻止、抑止:国家安全保障上のサイバー脅威に対する政府全体のアプローチ」(PDF) .ハーバード国立安全保障ジャーナル. 7 (2): 426. ISSN 2153-1358 . 
  89. ^ Kravets, David (2015年2月24日). 「米国、GameOver ZeuSボットネット管理者の捕獲に300万ドルの報奨金を提供」 Ars Technica . 2023年4月16日時点のオリジナルよりアーカイブ。 2023年7月21日閲覧
  90. ^ドブリニン、セルゲイ、クルトフ、マーク(2019年12月11日)。「豪華な結婚式の写真から、ロシアのサイバー泥棒容疑者のFSBファミリーとのつながりの手がかりが見つかる」ラジオ・フリー・ヨーロッパ/ラジオ・リバティ2023年7月22日時点のオリジナルよりアーカイブ。 2023年7月23日閲覧
  91. ^ライリー、マイケル(2021年6月11日)「プーチン政権下のロシアでハッカーが台頭、米国は新たな戦略を模索」ブルームバーグ・ビジネスウィーク2021年6月29日時点のオリジナルよりアーカイブ。 2025年3月17日閲覧
  92. ^ Krebs, Brian (2022年11月15日). 「Zeusボットネットのトップ容疑者『Tank』がジュネーブで逮捕」 . Krebs on Security . 2023年4月10日時点のオリジナルよりアーカイブ2023年5月7日閲覧。
  93. ^バージェス、マット (2024年7月11日). 「悪名高いハッカーのキングピン『タンク』がついに刑務所へ」 . WIRED . 2025年3月12日時点のオリジナルよりアーカイブ。 2025年3月21日閲覧
  94. ^ Krebs, Brian (2014年7月10日). 「Crooks Seek Revival of 'Gameover Zeus' Botnet」 . Krebs on Security . 2023年2月1日時点のオリジナルよりアーカイブ2023年7月7日閲覧。
  95. ^ブリュースター、トム (2014年7月11日). 「Gameover Zeus returns: thieving malware rises a month after police action」 . The Guardian . 2023年1月24日時点のオリジナルよりアーカイブ。 2023年7月7日閲覧
  96. ^ Constantin, Lucian (2014年7月11日). 「Gameover Trojanプログラムが一部修正を加えて復活」 . CSO Online . 2023年7月7日時点のオリジナルよりアーカイブ2023年7月7日閲覧。
  97. ^ Cosovan, Doina (2014年8月6日). 「ウクライナと米国を標的とするGameover Zeusの亜種」 . Bitdefenderブログ. 2022年5月16日時点のオリジナルよりアーカイブ。 2023年7月8日閲覧
  98. ^ Constantin, Lucian (2014年8月14日). 「New Gameover Zeusボットネット、特に米国で成長を続ける」 . CSO Online . 2023年7月8日時点のオリジナルよりアーカイブ。 2023年7月8日閲覧
  99. ^ Asher-Dotan, Lital (2015年7月1日). 「FBI vs. GameOver Zeus: DGAベースのボットネットが勝利する理由」 .サイバーリーズンによるMalicious Life . 2022年3月7日時点のオリジナルよりアーカイブ。 2023年7月23日閲覧
  100. ^ Gezer, Ali; Warner, Gary; Wilson, Clifford; Shrestha, Prakash (2019年7月). 「フローベースのアプローチによるTrickbotバンキング型トロイの木馬検出」. Computers & Security . 84 : 180. doi : 10.1016/j.cose.2019.03.013 . ISSN 0167-4048 . OCLC 8027301558. S2CID 88494516 .   

一般的な情報源

「 https://en.wikipedia.org/w/index.php?title=Gameover_ZeuS&oldid=1333409127」より取得