スパイウェア「Dante」の発見とMemento Labsの認可
サイバーセキュリティ企業Kasperskyは、ロシアとベラルーシのWindowsユーザーを標的とした新たなスパイウェア「Dante」を発見したと発表しました。このスパイウェアは、2019年に設立されたミラノ拠点の監視技術メーカーMemento Labsによって製造されたものです。Memento Labsの最高経営責任者(CEO)であるPaolo Lezzi氏は、TechCrunchに対し、Kasperskyが発見したスパイウェアが自社製であることを認めました。
Lezzi氏は、今回の事態は同社の政府顧客の1つが、年内にはサポートが終了する予定の古いバージョンのWindowsスパイウェアを使用したことが原因であると説明しています。同氏は、Memento Labsがすでに全ての顧客に対し、Windowsスパイウェアの使用を停止するよう要請しており、今週中にも再度通知を送る予定であると述べました。現在、Memento Labsはモバイルプラットフォーム向けのスパイウェア開発に注力しているとのことです。
Kasperskyの調査結果と「ForumTroll」
Kasperskyの報告によると、このスパイウェアを使用していたハッキンググループは「ForumTroll」と名付けられ、ロシアの政治・経済フォーラム「Primakov Readings」への招待を利用して標的を攻撃していました。標的となったのは、ロシア国内のメディア、大学、政府機関など広範な産業に及んでいます。
Kasperskyの広報担当者Mai Al Akka氏は、攻撃グループがロシア語に堪能であり、現地のニュアンスを理解していると指摘する一方で、時折見られる誤りから、攻撃者がネイティブスピーカーではない可能性を示唆しました。また、KasperskyはChromeブラウザのゼロデイ脆弱性を悪用したフィッシング攻撃も検出しましたが、Lezzi氏はMemento Labsがこのゼロデイを開発したわけではないと述べています。
Hacking Teamからの継承と「DANTEMARKER」
Kasperskyの研究者たちは、Memento LabsがかつてのスパイウェアメーカーHacking Teamが開発したスパイウェアを2022年まで改良し続け、その後「Dante」に置き換えたと結論付けています。Memento Labs製であることの決定的な証拠の一つは、スパイウェアのコード内に「DANTEMARKER」という文字列が残されていたことです。これは、Memento Labsが以前に公開していた「Dante」という名前に明確に言及しています。
Hacking Teamのスパイウェアも、レオナルド・ダ・ヴィンチやガリレオ・ガリレイといったイタリアの歴史上の人物にちなんで命名されており、この命名規則がMemento Labsにも引き継がれていることが示唆されます。
Hacking Teamの過去とスパイウェアの拡散
Memento Labsは、2019年にLezzi氏がHacking Teamを買収し、再ブランド化されたものです。Hacking Teamは2015年に大規模なハッキング被害に遭い、内部メール、契約書、スパイウェアのソースコードなど、約400ギガバイトのデータが流出しました。この流出により、エチオピア、モロッコ、アラブ首長国連邦などの顧客がジャーナリストや反体制派を標的にしていたことや、人権侵害が指摘されるバングラデシュ、サウジアラビア、スーダンなどの国々にもスパイウェアを販売していたことが明らかになりました。
トロント大学シチズンラボのシニア研究員であるJohn Scott-Railton氏は、今回のMemento Labsのスパイウェア発見は、この種の監視技術が依然として拡散し続けていることを示していると警鐘を鳴らしています。同氏は、「最も悪名高く、恥をかき、ハッキングされたブランドの残響がまだ存在していることは、多くのことを物語っている」と述べ、スパイウェア産業に対する継続的な監視と対策の必要性を強調しました。