ロシアを拠点とするサイバーセキュリティ企業のカスペルスキーが、「アメリカの中央情報局(CIA)によって開発されたマルウェアを発見した」と発表しました。

APT trends report Q1 2021 | Securelist

https://securelist.com/apt-trends-report-q1-2021/101967/

Security firm Kaspersky believes it found new CIA malware | The Record by Recorded Future

https://therecord.media/security-firm-kaspersky-believes-it-found-new-cia-malware/

2019年2月、複数のアナリストやセキュリティ企業がマルウェアを集めたコレクションを発表しました。このマルウェアはほとんどが既知のAPT攻撃に関連付けられていたのですが、これをカスペルスキーが再分析したところ、「The Lamberts」と呼ばれるマルウェアでみられたコーディングパターンやテクニックなどが確認できたそうです。

「The Lamberts」は、2017年にWikiLeaksがCIAの内部文書「Vault 7」をリークした際に、サイバーセキュリティ企業のシマンテック(現ノートンライフロック)などが内部文書を精査して存在が明らかになった、CIAがスパイ活動に使用していたツールです。

この「The Lamberts」と同じようなコーディングパターンが見られたため、2019年2月に発表されたマルウェア群の中には、CIAがスパイ活動に使用するツールが含まれているとカスペルスキーは主張しています。なお、カスペルスキーはこの新たに見つかったCIAによるマルウェアを「Purple Lambert」と名づけています。

Purple Lambertのメタデータによると、これは2014年にコンパイルされたものだそうです。Purple Lambertは、感染したシステムに関する基本情報を攻撃者に送信し、受信したペイロードを実行することができるように設計されているとのこと。ただし、Purple Lambertが実際に使用された痕跡はないため、カスペルスキーは「2014年から2015年にかけてデプロイされた可能性が高い」と記しています。

なお、WikileaksによるVault 7のリークとハッカー集団のThe Shadow BrokersによるNSAが使用していたハッキングツールのリークを除き、アメリカ政府が関連するインターネット上でのスパイ活動に関わるようなリークは「サイバーセキュリティの分野では非常にまれです」とセキュリティ関連メディアのThe Recordは報じています。

実際、Vault 7のリーク以降、アメリカ製のマルウェアやハッキングに関する報告は、わずか3件しか挙がっていません。