”Reaper”ボットネットの作成者は中国人である可能性が浮上
ChechPointによると、ボットネット”Reaper”の作成者が、中国人系のクラッカー集団である可能性が高い事を公表した。
CheckPointは、Reaperを最初に特定したイスラエル系のセキュリティ企業である。
「中国人系のクラッカー集団である可能性が高い」とされる根拠については、様々な要因からそのように判断したようだ。
その中でも大きな要因としては、ReaperがLuaという環境で作成された事であるという。
Luaとは、軽量で埋め込み可能なプログラミング言語の事である。
CheckPointのリサーチグループのYaniv Balmas氏は、Luaについてこう語る。
Luaがマルウェアに使われた事は見たことがない。Luaはアジャイル開発が可能で色んな環境に適応できるプログラミング言語だ。
Luaがアジャイル開発が可能で、尚且つ汎用性が高いという事は、攻撃者がサイバー攻撃手法をすぐに切り替える事が出来る事を意味します。
例えば、DDoS攻撃を仕掛けた後に、同じボットネットを使って、暗号通貨のマイニングをするスクリプトとして動作させる事ができるようになるという事です。
Balmas氏は、更にReaperを作成したグループが中国政府と関連のあるクラッカー集団と繋がりがある事を示唆している。
攻撃者がマルウェア内で使われているドメインを登録した際に使用したメールアドレスは、以前”Black Vine”というクラッカー集団によって使用された事がある。
勿論、ドメイン登録に使用されたメールアドレスが、メールアドレス転売者によって転売された可能性もあるので、Reaper作成者がBlack Vineである事は断定できない。
だが、Balmas氏は今後の調査に有益な情報である事は確かなのでリサーチを継続していくようだ。
ボットネットの拡大スピードが遅く、ベンダ側もパッチ提供をしているReaperなので、当初の予想より影響が少ないとされていはいます。しかし油断はできません。私のブログでも引き続きReaperについてまとめていきます。