「エチオピアのサイバースパイ、スパイウェアのログを公開Webサーバに残してしまう」

www.bleepingcomputer.com

エチオピア政府が行っていた、国内外の標的に対してマルウェアを使ったサイバースパイ行為が明らかになりました。

これはエチオピア当局側によるマルウェアのC&Cサーバの設定が「不適切」で、各種のデータを配置したディレクトリが公開設定になっていたことによります。

元々、どうもこの当局はあまりスマートではなかったようで、フィッシングメールが標的から怪しまれ、セキュリティ企業Citizen Labに相談された経緯があります。さらにこの当局は、Citizen Labにもフィッシングメールを送りつけてしまいます。これにより調査がさらに進み、前述の公開領域の存在が判明しました。ちなみにフィッシングメールは動画やPDFをだしに、マルウェア入りのFlashの更新やPdfWriterに誘導するものでした。

さて、公開領域のデータから、攻撃者のIPアドレスや標的の詳細が判明しました。標的は国内的にはジャーナリストや活動家、エチオピアのオロミア州での2016年の抵抗運動の関係者などですが、国外でも多数の国にいるエチオピアから離散した人々も含まれます。対象のいる国は元記事の地図に載ってますが、米独豪印といった国と並んで日本も含まれるようです。

（なおオロミア州は先住民がオロモ族に追い落とされ過去があったり、周辺の州との間でいざこざがあったり、オロモ族へのエチオピア中央政府からの弾圧があったりするようです）

なお、このサイバースパイで使われたツールは、イスラエルCyberbit社（Elbit社の子会社）のPSS (PC Surveillance System)というもの。いわゆる（政府向けなので）合法扱いされているマルウェアです。同じカテゴリの製品として、かつてクラックされ、ゼロデイ脆弱性をばらまく結果になった伊Hacking TeamのRCSや独英のGamma GroupのFinSpy、イスラエルNSO Groupの各種製品が元記事では挙げられています。また、エチオピア政府はこれまでにHacking TeamやGamma Groupの顧客でもあったとされています。