2015年6月4日 22:48
日本を広く狙う攻撃「Blue Termite」拡散中、根拠なき自信は捨てよ - カスペルスキー記者説明会
と判断されると、メールアカウントやブラウザのセッション情報を盗み、重要な情報源となるであろう文書ファイルの窃取を行う。
●日本に特化した攻撃、ターゲットにされている業種や機関は?
Blue Termiteの最大の特徴は、標的が日本に特化されているだけでなく、攻撃を指令するC&Cサーバーが日本に多く設置されているところにある。カスペルスキーの調査によると、2014年9月から感染PCと指令サーバーの通信を観測してたが、12月からいったん鎮静化。そのあと、今年(2015年)の4月から再び増えているという。
ターゲットとなっているのは、政府機関、報道機関、防衛関連、航空宇宙産業、金融業、製造業、エネルギー関連、情報通信と、非常に幅広い。カスペルスキーの観測では、300以上のIPアドレスから通信を確認している。一つの組織で複数のIPアドレスを使うこともあるので、300=組織数ではないが、それなりに広く感染&監視活動が進行しているようだ。
カスペルスキーは、情報通信会社からの通信に「c:\windows\system32」フォルダを確認した痕跡があることを問題視している。
推測として、クラウドサーバーの基幹部分が乗っ取られた結果、その会社が管理しているクラウドサーバーも乗っ取り可能になっていることを指摘。