US Cyber Command(US Cyber Command) は 、珍しいイニシアチブを発表しました。 「機密解除されたマルウェア」のサンプルをVirusTotalデータベースに定期的にアップロードすることを約束します。
進行中の運用で外国のintelligence報機関が使用するサイバー兵器について話していると推測するのは簡単です(サイバーintelligence報部隊は、ロシアを含む先進的なintelligence報機関を備えたすべての国で稼働しています)。 言い換えれば、米国のis報機関は、敵のツールを公開します。 パブリックデータベースにVirusTotalが出現すると、これらのツールはすべてのアンチウイルスデータベースに分類され、本質的には無効になります。
「これは、外国の国家主体を積極的に追求することを目的とした新しい米国戦略の例に似ています。 有名なセキュリティスペシャリストであり暗号作成者のブルースシュナイアーは、マルウェアを公開することで、米国は常に新しい脆弱性を見つけて悪用することを強制しています。
US Cyber Commandは、可能な限り公に行動し、敵のマルウェアについて広く一般に知らせます。 VirusTotalデータベースに送信された新しいマルウェアサンプルに関するメッセージ専用に、新しいUSCYBERCOM Malware Alert twitterアカウントが開かれました。
現在までに、2つのサンプルが送信されています。
もちろん、特別なサービスは敵のツールの機密を保持することに興味がなくなった後、つまり、適切な対知能手段と外国の俳優、彼らの目標、作業方法などに関する情報を収集した後にのみ、敵のツールを分類解除します。 その後、外部ツールは機密解除され、VirusTotalデータベースにマージされます。
そのようなプログラムの最初の画像は、米国サイバー司令部に従属するサイバー国家ミッションフォース(CNMF)によって公開されました。 twitterアカウントの開設とサンプルの公開に、国家機関向けの新しいイニシアチブである情報セキュリティを専門とする出版物ThreatPostの通常の発表が含まれていなかったことは興味深い。 これは警告なしに行われました。
「公的部門と協力することの価値を認識し、CNMFは機密解除されたマルウェアサンプルを共有する取り組みを開始しました。
最初の2つの機密解除されたサンプルは、 rpcnetp.dllおよびrpcnetp.exeファイルです 。 これらのドロッパーは、ロシア連邦向けの注文の実行に関連するComputraceハッカーグループAPT28 / Fancy Bearのバックドアにも使用されます。
「Computrace / LoJack / Lojaxの特定のサンプルペアは、実際はComputrace(現在はAbsolute)と呼ばれていた会社の合法LoJackソフトウェアのトロイの木馬バージョンです。 合法的なLoJackソフトウェアのトロイの木馬バージョンは、LoJaxまたはDoubleAgentと呼ばれます。
このようなサンプルのリリースは、長期にわたってサイバー活動と知識を秘密にしてきた防衛省にとって大胆な一歩です。 これにより、サイバーセキュリティコミュニティは脅威をリアルタイムで動員して対応できるようになり、それによって政府がアメリカのサイバースペースのセキュリティを保護および保証するのに役立ちます。
FireEyeのインテリジェンス分析のディレクターであるJohn Hultqvistは、特定の敵インテリジェンスオペレーションまたはインテリジェンスオペレーションに言及することなく、マルウェアが「真空状態で」検出されたことに注目しました。しかし、そのシンプルさは政府が歴史的に苦労してきたよりシンプルで迅速な行動を可能にします」とハルトクビストは言いました。 実際には、コンテキストの欠如は保護対策の有効性を低下させる可能性がありますが、信頼できる防御を構築するには、敵がこれらのツールをどのように、そして何のために使用したかを明確に理解する必要があるためです。