米国政府は、ロシアに関連するAPT28アクターが悪意ある活動を隠すために使用していた、数百台の小規模オフィスおよびホームオフィス(SOHO)ルーターで構成されるボットネットの活動を妨害したと発表した。このAPT28は、ロシアの総参謀本部(GRU)の第26165部隊に関連していると評価されており、少なくとも2007年から活動しているとされる。攻撃者は、MooBotというMiraiベースのボットネットを利用して、Ubiquiti製ルーターを標的にし、これらのデバイスを改ざんしてプロキシとして機能させ、実際のIPアドレスを隠しながら悪意あるトラフィックを中継した。このボットネットは、攻撃者が真の位置を隠し、資格情報やNT LAN Manager(NTLM)v2ハッシュを収集し、スピアフィッシングのランディングページやパスワードのブルートフォース攻撃、ルーターユーザーパスワードの窃取、MooBotマルウェアの他のアプライアンスへの拡散に使用された。
米国連邦捜査局(FBI)によると、MooBotは公開されている脆弱性を持つUbiquitiルーターを標的にし、デフォルトの資格情報を使用してSSHマルウェアを植え付け、デバイスへの永続的なリモートアクセスを可能にした。APT28アクターは、特定のOpenSSHバージョン番号を検索パラメータとしてインターネットの公開スキャンを実施し、MooBotを使用してこれらのルーターにアクセスしたとされる。また、APT28によるスピアフィッシングキャンペーンでは、Outlookのゼロデイ脆弱性(CVE-2023-23397)を利用してログイン資格情報を盗み出し、ルーターに送信した。
米国内のボットネットを妨害し、さらなる犯罪を防ぐため、盗まれたデータと悪意のあるファイルをコピーして削除し、APT28のルーターへのリモートアクセスをブロックするファイアウォールルールを変更する一連の未公開のコマンドが発行された。感染したUbiquitiデバイスは「ほぼ全ての州」で検出された。この裁判所が認可した作戦は「Dying Ember」と呼ばれ、中国からの別の国家支援のハッキングキャンペーンを標的としたKV-botnetの活動を米国が解体した数週間後に行われた。
【ニュース解説】
米国政府は、ロシアに関連するAPT28というサイバー攻撃グループが使用していた、数百台の小規模オフィスおよびホームオフィス(SOHO)ルーターで構成されるボットネットの活動を妨害しました。このボットネットは、APT28によって悪意ある活動を隠すために利用されていました。APT28は、ロシアの総参謀本部(GRU)の第26165部隊に関連しているとされ、2007年から活動していることが知られています。
APT28は、MooBotというMiraiベースのボットネットを利用して、Ubiquiti製ルーターを標的にしました。これらのデバイスを改ざんしてプロキシとして機能させ、攻撃者の実際のIPアドレスを隠しながら悪意あるトラフィックを中継しました。このボットネットは、攻撃者が自身の真の位置を隠し、資格情報やNT LAN Manager(NTLM)v2ハッシュを収集するため、さらにはスピアフィッシングのランディングページやパスワードのブルートフォース攻撃、ルーターユーザーパスワードの窃取、MooBotマルウェアの他のアプライアンスへの拡散に使用されました。
米国連邦捜査局(FBI)によると、MooBotは公開されている脆弱性を持つUbiquitiルーターを標的にし、デフォルトの資格情報を使用してSSHマルウェアを植え付け、デバイスへの永続的なリモートアクセスを可能にしました。APT28は、特定のOpenSSHバージョン番号を検索パラメータとしてインターネットの公開スキャンを実施し、これらのルーターにアクセスしました。
このようなサイバー攻撃活動は、国家安全保障や企業のセキュリティにとって重大な脅威をもたらします。攻撃者がボットネットを利用して自身の位置を隠し、悪意ある活動を行うことで、追跡や防御が困難になります。また、資格情報の盗難は、さらなるサイバー攻撃や情報漏洩につながる可能性があります。
米国政府によるこのボットネットの妨害作戦は、サイバー攻撃に対する積極的な対策の一例です。盗まれたデータと悪意のあるファイルをコピーして削除し、APT28のルーターへのリモートアクセスをブロックすることで、さらなる犯罪を防ぐことを目指しました。このような対策は、サイバー攻撃の脅威に対抗するためには不可欠ですが、同時にサイバーセキュリティの強化とユーザーの意識向上も重要です。
この事件は、サイバーセキュリティの重要性を改めて浮き彫りにし、国家レベルでのサイバー攻撃に対する防御策の必要性を示しています。また、個人や企業にとっても、使用するデバイスのセキュリティを常に確認し、デフォルトのパスワードの変更や最新のセキュリティパッチの適用など、基本的なセキュリティ対策を講じることの重要性を教訓としています。
from U.S. Government Disrupts Russian-Linked Botnet Engaged in Cyber Espionage.
“米国がロシア関連の巨大ボットネットを破壊、サイバー安全を守るための闘いが続く” への1件のコメント
このニュースは、サイバーセキュリティの世界での国家間の緊張が日々高まっていることを示しており、私たちITエンジニアにとっても非常に重要な情報です。APT28が行ったような高度なサイバー攻撃は、一般のユーザーだけでなく、企業や国家レベルでのセキュリティ対策にも大きな影響を与えます。特に、公開されている脆弱性を悪用し、デバイスへの永続的なアクセスを確立する手法は、ソフトウェア開発者としても深刻に捉えるべき問題です。
Ubiquiti製ルーターのようなネットワークデバイスは、多くの場合、セキュリティ対策が十分ではなく、デフォルト設定をそのまま使用しているケースが少なくありません。このような状況が、攻撃者による標的とされやすい要因となっています。この事件を受けて、デバイスのセキュリティ設定の見直しや、定期的なファームウェアのアップデート、さらにはセキュリティパッチの適用がいかに重要であるかが改めて強調されます。
私たち開発者は、セキュリティに対する意識を常に高く持ち、開発するソフトウェアやシステムが潜在的な脅威に対してどのように対応できるかを常に考