木曜日に、米国政府は、コンピューターと携帯電話をスパイするように設計されたマルウェアを販売するために使用された Web サイトを押収したと発表しました。
このマルウェアは NetWire と呼ばれ、何年もの間 いくつかの サイバーセキュリティ 企業、そして少なくとも 1 つの政府機関、ハッカーがマルウェアをどのように使用していたかを詳述したレポートを書いています。 NetWire はハッキング フォーラムでも宣伝されていたと伝えられていますが、マルウェアの所有者は、正規のリモート管理ツールであるかのように見せる Web サイトで宣伝していました。
「NetWire は、企業がコンピュータ インフラストラクチャの維持に関連するさまざまなタスクを完了するのに役立つように特別に設計されています。 これは、すべてのリモート コンピューターのリストを保持し、それらのステータスとインベントリを監視し、メンテナンス目的でそれらのいずれかに接続できる単一の「コマンド センター」です。 サイトのアーカイブ バージョン.
の プレスリリース でホストされていたウェブサイトの押収を発表 worldwiredlabs.com、カリフォルニア州中央地区の連邦検事局は、FBIが2020年にサイトの調査を開始したと述べました.
連邦検事局のスポークスパーソンが TechCrunch に次のコピーを提供した。 ウェブサイトを押収するために使用された令状では、NetWire が実際にはリモート アクセス トロイの木馬 (RAT) マルウェアであり、リモート コンピューターを管理するための正規のアプリではないと FBI がどのように判断したかについて詳しく説明しています。
令状には、無名の FBI タスク フォースの役員によって書かれた宣誓供述書が含まれており、FBI 調査チームのメンバーまたはエージェントが NetWire ライセンスを購入し、マルウェアをダウンロードし、それを FBI-LA のコンピューター科学者に渡して分析したと説明しています。 2020 年 10 月 5 日および 2021 年 1 月 12 日。
マルウェアの機能をテストするために、コンピューター科学者はテスト コンピューターで NetWire のビルダー ツールを使用して、エージェントによって制御される Windows 仮想マシンにインストールされた「NetWire RAT のカスタマイズされたインスタンス」を構築しました。 このプロセスの間、NetWire Web サイトは、「FBI がテスト中に攻撃したテスト対象のマシンを所有、運用、または所有していることを確認することを FBI に要求することはありませんでした (攻撃が合法的なものまたは許可された目的)」。
言い換えれば、この実験に基づいて、FBI は、NetWire の所有者が、所有または管理するコンピュータ上で顧客が正当な目的で NetWire を使用していることをわざわざ確認したことがないと結論付けました。
FBI のコンピューター科学者は、セットアップした仮想マシンを使用して、ファイルへのリモート アクセス、Windows のメモ帳などのアプリの表示と強制終了、保存されたパスワードの抽出、キーストロークの記録、プロンプトまたはシェルを介したコマンドの実行など、すべての NetWire 機能をテストしました。スクリーンショットを撮る。
「FBI-LA [computer scientist] 上記でテストされたすべての機能において、感染したコンピュータはこれらのアクションが行われているという通知や警告を表示しなかったことを強調しました. これは、ユーザーに代わって特定のアクションを実行するために通常ユーザーの同意が必要な正規のリモート アクセス ツールに反するものです」とタスク フォースの役員は宣誓供述書に書いています。
警官はまた、2021 年 8 月に FBI が米国を拠点とする NetWire の被害者から受け取った苦情を引用しましたが、被害者が第三者を雇ったことを除いて、被害者の身元や事件の多くの詳細は含まれていませんでした。サイバーセキュリティ会社は、被害企業が NetWire をインストールする悪意のある電子メールを受信したと結論付けました。
カリフォルニア州中央地区連邦検事局のスポークスマンである Ciaran McEvoy 氏は、TechCrunch に対し、令状と添付された宣誓供述書以外に、この事件に関する公文書は知られていないと語った。所有者の身元を含めて NetWire を販売することは、現時点では制限されています。
DOJ はプレス リリースで、クロアチア当局がウェブサイトを運営していたとされる地元市民を逮捕したと書いていますが、容疑者の名前は明らかにしていません。
この発表を受けて、サイバーセキュリティ ジャーナリストの Brian Krebs 氏は次のように述べています。 記事を書きました そこで彼は、一般にアクセス可能な DNS レコード、WHOIS Web サイト登録データ、公開データベース リークで公開されたデータをインデックス化するサービスによって提供された情報、さらには Google+ プロファイルを使用して、worldwiredlabs.com Web サイトを Mario Zanko という人物にリンクしました。