実は「標的サイトで何年も動いていた」--強力なスパイ機能の「Turla」にLinux版

　セキュリティ研究者らが、複雑な「Windows」マルウェアの亜種で、Linuxを標的としたものを発見した。Windows版は過去に大使館や軍事施設、製薬会社を狙っていたことで知られている。

　このたびのLinuxマルウェアの出現は、2014年に入ってからKasperskyやSymantecの研究者らが見つけた「Turla」ファミリに続くもの。Turlaは、政府機関の手によるものとして、ロシアが出所として疑われている。

　Kasperskyによると、Windows版Turlaは45カ国以上で膨大な数のコンピュータに感染した。悪意を持って作り込まれたPDFファイルを使うなどのソーシャルエンジニアリング技術や、水飲み場型攻撃を利用するのが特徴で、Windowsと「Adobe Reader」のゼロデイ脆弱性を少なくとも2件悪用していた。

　Kasperskyの研究員Kurt Baumgartner氏とCosting Raiu氏は新しく出現したLinux版のサンプルは「標的サイトのシステムをより幅広くサポート」すると述べる。2人はこれが「標的サイトで何年も動いていた」とみる。

　サンプルは、隠れてネットワーク通信したり、任意のコマンドを遠隔地から実行したり、リモートから管理したりする機能を持っていた。

　Windows版と同じようにハードコーディングされ、コマンド＆コントロール（C&C）ドメインが一緒だったことから、Turlaの一連の攻撃との関連性が明るみになった。

　しかし、Linux版は「cd00r.c」として古くから広く知られる概念実証のためのバックドアを利用しているのが特徴だ。