FBIが主導したbotネット破壊作戦が“効果絶大”も、油断ならないワケ:Cybersecurity Dive
FBI主導で実行されたbotネットの破壊活動が成果を挙げた。botネットが破壊されるまで脅威グループは、数百台の脆弱なルーターを悪用し、標的に対してスピアフィッシング攻撃やクレデンシャルハーベスティング攻撃を実行していた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国司法省は、悪意のあるサイバー活動に使用される数百台の小規模オフィスやホームオフィスのルーターを無効にするという裁判所命令によって、(注1)、「Fancy Bear」という別名でも知られるロシアに関連する脅威グループ「Forest Blizzard」が制御するbotネットを破壊した。
このbotネットはIT企業Ubiquitiの脆弱(ぜいじゃく)な「Edge OS」を搭載したルーターにインストールされたマルウェア「Moobot」を使用し、米国内でスピアフィッシングやクレデンシャルハーベスティング攻撃を実行していた。影響を受けたルーターはデフォルトのパスワードを使用していたという。
選挙シーズンは脅威アクターが元気になる
今回の措置は、中国の後ろ盾を得た脅威アクター「Volt Typhoon」の支援を受けていた「KV」botネットの破壊に続き、2024年1月以降に、米国で実行された2度目の破壊作戦だ(注2)。
米国連邦捜査局(FBI)が主導したこの破壊活動は、ここ数カ月間、国家に関連する脅威グループによる悪質な活動が増加している中で実行された。
Forest Blizzardは「CVE-2023-23397」として追跡されている「Microsoft Outlook」における重大な特権昇格の脆弱性を積極的に悪用し(注3)、「Microsoft Exchange Server」への不正アクセスを実行していた(注4)。
この際、ハッカーがパスワードスプレーを含む複数の戦術を使ったため、Microsoftは2023年12月にポーランドのサイバーコマンドと連携して脅威を軽減した(注5)。ウクライナのサイバー関係者は、2024年2月の初めに、ハッカーがウクライナ軍の認証情報を盗んでいると警告した(注6)。
サイバーセキュリティ事業を営むPalo Alto Networksのセキュリティ研究チーム「Unit 42」の研究者たちは(注7)、「Fighting Ursa」と名付けられた脅威グループを追跡しており、「Microsoft Exchange Serverの悪用によってエネルギー生産や航空輸送、パイプライン運営といった企業に対して攻撃が実行されている」と話した。
セキュリティ研究者らは、米国が選挙シーズンに突入するにつれて国家の後ろ盾を得た脅威アクターが活発化すると予想している。
Mandiant IntelligenceおよびGoogle Cloudのジョン・ホルトクイスト氏(チーフアナリスト)は「これらの対策は万能ではなく、攻撃者はすぐに新しいスキームを使って戻ってくるだろう。しかし選挙が迫っている今、ロシア連邦軍参謀本部情報総局(GRU)の活動に対抗するには絶好の機会だ」と述べた。
OpenAIは2024年2月12日(現地時間)の週に、国家に関連する5つの攻撃者をプラットフォームから排除した。Forest Blizzarは、そのうちの一つだった(注8)。複数の脅威グループが同社のAIツールで初期段階の調査やその他の悪意のある活動を実施していた。
米国司法省によると、今回のキャンペーンは異例だという。GRUは通常、内部でマルウェアを開発するが、今回は外部から入手可能な犯罪マルウェアを利用していたためだ。Moobotはマルウェア「Mirai」の亜種で(注9)、2022年にD-Linkの脆弱なルーターを使った脅威活動に関連していたこともある。
2024年1月下旬に認可されたFBIの作戦では、侵害されたルーターから盗まれたファイルやその他のデータをコピーし、削除した。この操作によって、全米で個人や小規模オフィスによって使用されていたデバイスへのリモートアクセスも無効化された。ユーザーは、デバイスを工場出荷時の状態にリセットすることで、通常のアクセスを回復できるという。
FBIは地元のインターネットサービスプロバイダーと協力し、ルーターの所有者や運営者に通知した。
(注1)Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU)(Department of Justice)
(注2)China-linked hackers primed to attack US critical infrastructure, FBI director says(Cybersecurity Dive)
(注3)CVE-2023-23397 Detail(NIST)
(注4)Guidance for investigating attacks using CVE-2023-23397(Microsoft)
(注5)Detecting malicious activity against Microsoft Exchange servers(wojsko polskie)
(注6)National Cybersecurity Coordination Center (NCSCC)(LinkedIn)
(注7)Fighting Ursa Aka APT28: Illuminating a Covert Campaign(UNIT 42)
(注8)OpenAI, Microsoft warn of state-linked actors’ AI use(Cybersecurity Dive)
(注9)Researchers warn older D-Link routers are under threat from Mirai malware variant(Cybersecurity Dive)
関連記事
ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。
“EDR運用失敗”にどう対処する? ウィズセキュアが2024年事業戦略を発表
ウィズセキュアは2024年の事業説明会を開催した。EDRを導入してもうまく運用できない企業がいる中、同社はこれをどう解消するのか。
Gartner、2024年サイバーセキュリティにおける6つのトップトレンドを発表
Gartnerは、2024年におけるサイバーセキュリティのトップトレンドを発表した。生成AIをはじめとした6つのトレンドが挙がっている。
Cloudflare、大規模言語モデルを保護する新たなファイアウォールを開発
Cloudflareは大規模言語モデルを悪用から保護するための「Firewall for AI」を開発していると発表した。今後数カ月以内にβ版を提供する予定だ
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。