FireEye の Michael Sikorski は昨年、非常に変わったマルウェアを受け取った。
そのカスタムコードは、攻撃を防御するクライアントのエアギャップを跳び越え、非常に安全であるはずのコンピュータに影響を与えた。そのマルウェアを採取したのは Sikorski の同業者たち(彼らの勤務先名は明かされていない)で、彼らは分析を依頼するために、それを FireEye の FLARE チームへ送った。
「このマルウェアは、リムーバブルデバイスからリモートコマンドを取得する」と Sikorski は語った。「実際には『特定のフォーマットをされ、暗号化された隠しファイル』を探し出す。それから『次に何をすべきか』を伝える一連のコマンドにアクセスするため、それを復号する」
大部分のマルウェアにとっては、外部ネットワークリンクが生命線だ。このサンプルは、悪質なコードが被害者のマシンに自身を植え付け、また盗まれたデータを攻撃者に送り、さらに追加の感染を引き起こすことのできる C&C リンクとしての役割を果たす手段を提供している。
この名前のない Sikorski のマルウェアは、他のマシンへ感染を広げ、コマンドを配布するために従業員たちを利用した。攻撃者は、インターネットを利用できるマシン(彼らは、それらが「エアギャップされたマシンへのアクセスを持ったスタッフが利用するマシンである」ということを知っていた)をハッキングし、あらゆる外部記憶装置をデジタルブリッジに変えた。