Duqu 2.0
世間はKaspersky Lab内にStuxnetやDuquの系譜である発展版のマルウェアが仕掛けられたニュースで持ちきりだ。
The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns - Securelist
Duqu 2.0: Reemergence of an aggressive cyberespionage threat | Symantec Connect Community
Duqu2.0はStuxnetやDuquと共通のコードがみられ、出所が同じであると推測されている。またその規模から、(アメリカ合衆国かイスラエル)国家政府の支援を受けていると推測されている。
Kaspersky Lab内に仕掛けられ、Kaspersky Labによって発見されてDuqu 2.0と命名されたこのマルウェアは、Windowsの作成当時のゼロデイ脆弱性を利用して、カーネルメモリ内のみに常駐し、ストレージ上に痕跡を残さないことで、検出を難しくしているという。
創始者のKaspersky本人は、Forbesの寄稿で、セキュリティ研究会社を狙うのは割に合わないと書いている。
Why Hacking Kaspersky Lab Was A Silly Thing To Do
曰く、そもそも連中はうちに侵入して何をしたいのだ? うちの製品のソースコードとかノウハウを盗みたいのか? しかし、日進月歩で技術革新が進むこの業界で、今この瞬間の技術情報を盗んでも無意味だ。そもそも、うちは商業企業である。うちは政府とも契約を結んでいるし、国家機密に関わるような場所に納品する際にはソースコードの提出だってしている。技術情報が欲しければ普通に顧客としてくればいいではないか。国家犯罪を暴いているうちに幼稚なエゴでもって仕返しがしたかったのか? そのために何百万ドルもの血税を無駄にしているのか。意味がわからない。と。
しかし、アメリカ合衆国かイスラエル国家の支援を受けた団体が、ロシア国家の支援を受けた企業を攻撃するのはなかなかわかりやすい構図ではある。