Candiruの新たなインフラとDevilsTongueの展開
Insikt Groupの研究者たちは、イスラエルのスパイウェアベンダーCandiruに関連する新たなインフラを発見しました。この発見により、高度なDevilsTongueマルウェアが世界中のWindowsユーザーに対して展開されている継続的なキャンペーンが明らかになりました。
調査では、Candiruの作戦に結びつく8つの異なるインフラクラスターが特定され、そのうち5つは現在活動している可能性が高いとされています。特に、ハンガリーとサウジアラビアに関連するクラスターは運用中であり、インドネシアに関連するクラスターは2024年11月まで活動していました。アゼルバイジャンに接続された2つの追加クラスターは、被害者向けのインフラの可視性が限られているため、その状況は不明です。
Insikt Groupの分析によると、これらのクラスターの管理方法には大きな違いがあります。一部のオペレーターは被害者向けのシステムを直接管理している一方、他のオペレーターは中間インフラ層を利用したり、Torネットワークを介してトラフィックをルーティングしたりして、自身の活動を隠蔽しています。このインフラには、DevilsTongueの展開と制御に使用される被害者向けコンポーネントと、より高レベルのオペレーターインフラの両方が含まれています。
DevilsTongueスパイウェアの高度な機能
DevilsTongueは、高度でモジュール式のWindowsマルウェアであり、デバイスの深部への侵入、ファイルの抽出、ブラウザデータの収集、さらにはSignalのようなアプリケーションからの暗号化されたメッセージの窃取が可能です。リークされた販売情報に基づくと、展開あたりのコストは数百万ユーロと推定されるため、高い情報価値を持つ個人が特に標的となるリスクがあります。政治家、ビジネスリーダー、ジャーナリスト、人権活動家、および機密性の高い役割にいる個人は、この技術を振るうオペレーターの主要な標的となり得ます。
重大な犯罪やテロ対策の文脈外での傭兵スパイウェアの使用は、標的とその組織だけでなく、オペレーター自身にも重大なプライバシー、法的、および安全上のリスクをもたらします。
国際的規制とCandiruの抵抗
国際的な圧力が高まるにもかかわらず、Candiruは目覚ましい回復力を示しています。2021年11月、米国商務省は悪意のある活動に関与する外国政府にスパイウェアを供給した役割を理由に、Candiruをエンティティリストに追加しました。欧州連合はスパイウェアの悪用を抑制するための決議を可決し、英国とフランスが主導するポールモールイニシアチブは、合法的な監視ツール使用を定義し規制しようとしています。
それにもかかわらず、Candiruは活動を継続しており、エンティティリストからの削除を確保する取り組みを含む制限に積極的に反発しています。2022年4月には、Citizen Labがカタルーニャ独立運動のメンバーが国内監視作戦の一環としてCandiruスパイウェアの標的になったと報告しています。同社は、Saito Tech Ltd.、Taveta Ltd.、Grindavik Solutions Ltd.などの名前で頻繁に企業再編を行うことで、運用上の秘密を維持してきました。
推奨される防御策
セキュリティ担当者は、包括的な保護措置を講じる必要があります。これには以下の対策が含まれます。
- 定期的なソフトウェア更新
- 既知の侵害指標に対する脅威ハンティング
- リスクのある担当者への渡航前セキュリティブリーフィング
- 個人デバイスと企業デバイスの厳格な分離
- 感染経路とマルウェア機能に対処し、データ露出を最小限に抑えるための従業員セキュリティ意識向上トレーニング
- 徹底的なリスク評価による適応型セキュリティポリシーの開発
進化する傭兵スパイウェア市場の脅威
新たなベンダーが登場し、より多くの国が高度なサイバー能力を求めるにつれて、傭兵スパイウェア市場は拡大しており、標的となるリスクは市民社会だけでなく、こうしたツールにアクセスできるアクターにとって関心のあるあらゆる個人に及んでいます。イノベーションは加速し続け、広告ベースの感染、メッセージングサーバーへの直接攻撃、強化された永続化メカニズムなど、新たな技術が出現しています。これらの進展は、より巧妙な感染経路、クラウドバックアップの標的化、およびますます専門化するスパイウェアエコシステム全体での広範なツールポートフォリオを推進しています。効果的な緩和策には、継続的なエコシステム監視と、世界中の政策立案者によるより断固たる規制行動が必要です。