I2P匿名ネットワークを介して攻撃者にメッセージを送信する新しい金融マルウェアプログラムがロシアのサイバー犯罪フォーラムに登場しました。
その販売コピーを見たというTrusteerのセキュリティ研究者によると、この悪質なプログラムはi2Ninjaと呼ばれ、I2PネットワークをC&C(コマンド・アンド・コントロール)チャンネルとして使用します。
I2Pは分散型エンド・ツー・エンド・ネットワークで、いくつかの暗号レイヤーを使って安全かつ匿名な接続を可能にし、ダークネットワーク、つまりインターネットから独立して存在するネットワークを作り出します。より活発なダークネットワークTorと同様に、I2Pの目的は、ネットワーク内でのみあらゆる種類のサービスを許可することであり、それらのサービスへのアクセスは内部からのみ可能です。
.i2p偽ドメインで運営されている匿名ウェブサイトは、ブラウザをI2Pネットワークに接続するプロキシプログラム、EepProxyを通してのみアクセスできます。
ボットネットを操る者にとって、TorやI2Pのようなダークネットワークの利用は有益です。まず、悪意のあるプログラムとコマンドサーバー間のトラフィックは、データが暗号化されているため、侵入防止システムやファイアウォールによって簡単に傍受されることはありません、とアンチウイルスベンダーKaspersky Labのマルウェア研究者であるDmitry Tarakanov氏は木曜日に電子メールで述べています。
このような悪意のあるデータストリームを傍受するということは、すべてのI2PやTorのデータストリームを傍受するということであり、このようなネットワークパケットから特定の接続を傍受するためだけに正確な宛先を抽出したのでは不可能な作業である、とタラカノフは述べています。さらに、I2PやTorネットワークの途中にC&Cサーバーを隠すことは、セキュリティアナリストがそれらのサーバーを発見し、破壊することを困難にします。
TorがC&Cチャネルに利用されるケースがあり、Mevadeボットネットのケースと同様、8月にはTorの利用者数が急増しました。
i2NinjaがGameoverボットネットやHlux/Kelihosボットネットのような機能を持っているかどうかは明らかではありません。もしそうであれば、このような悪意のあるプログラムをベースにしたボットネットを破壊するのは難しいだろうとタラカノフ氏。
trusteerはCybercrime Forumの声明に基づいてレポートを書きましたが、アンチウイルス会社がこのマルウェアのデータベースを検索するのに役立つサンプルハッシュはまだありません。
i2Ninjaはサイバー犯罪者に販売されているため、スパム、すでに感染しているサイトで悪質なデータをダウンロードして攻撃を誘発する、既存のボットネットを通じて直接インストールする、といった一般的な方法で拡散する可能性がある、とタラカノフ氏。
