FBI主導で実行されたbotネットの破壊活動が成果を挙げた。botネットが破壊されるまで脅威グループは、数百台の脆弱なルーターを悪用し、標的に対してスピアフィッシング攻撃やクレデンシャルハーベスティング攻撃を実行していた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国司法省は、悪意のあるサイバー活動に使用される数百台の小規模オフィスやホームオフィスのルーターを無効にするという裁判所命令によって、(注1)、「Fancy Bear」という別名でも知られるロシアに関連する脅威グループ「Forest Blizzard」が制御するbotネットを破壊した。
このbotネットはIT企業Ubiquitiの脆弱(ぜいじゃく)な「Edge OS」を搭載したルーターにインストールされたマルウェア「Moobot」を使用し、米国内でスピアフィッシングやクレデンシャルハーベスティング攻撃を実行していた。影響を受けたルーターはデフォルトのパスワードを使用していたという。
今回の措置は、中国の後ろ盾を得た脅威アクター「Volt Typhoon」の支援を受けていた「KV」botネットの破壊に続き、2024年1月以降に、米国で実行された2度目の破壊作戦だ(注2)。
米国連邦捜査局(FBI)が主導したこの破壊活動は、ここ数カ月間、国家に関連する脅威グループによる悪質な活動が増加している中で実行された。
Forest Blizzardは「CVE-2023-23397」として追跡されている「Microsoft Outlook」における重大な特権昇格の脆弱性を積極的に悪用し(注3)、「Microsoft Exchange Server」への不正アクセスを実行していた(注4)。
この際、ハッカーがパスワードスプレーを含む複数の戦術を使ったため、Microsoftは2023年12月にポーランドのサイバーコマンドと連携して脅威を軽減した(注5)。ウクライナのサイバー関係者は、2024年2月の初めに、ハッカーがウクライナ軍の認証情報を盗んでいると警告した(注6)。
サイバーセキュリティ事業を営むPalo Alto Networksのセキュリティ研究チーム「Unit 42」の研究者たちは(注7)、「Fighting Ursa」と名付けられた脅威グループを追跡しており、「Microsoft Exchange Serverの悪用によってエネルギー生産や航空輸送、パイプライン運営といった企業に対して攻撃が実行されている」と話した。
セキュリティ研究者らは、米国が選挙シーズンに突入するにつれて国家の後ろ盾を得た脅威アクターが活発化すると予想している。
Mandiant IntelligenceおよびGoogle Cloudのジョン・ホルトクイスト氏(チーフアナリスト)は「これらの対策は万能ではなく、攻撃者はすぐに新しいスキームを使って戻ってくるだろう。しかし選挙が迫っている今、ロシア連邦軍参謀本部情報総局(GRU)の活動に対抗するには絶好の機会だ」と述べた。
OpenAIは2024年2月12日(現地時間)の週に、国家に関連する5つの攻撃者をプラットフォームから排除した。Forest Blizzarは、そのうちの一つだった(注8)。複数の脅威グループが同社のAIツールで初期段階の調査やその他の悪意のある活動を実施していた。
米国司法省によると、今回のキャンペーンは異例だという。GRUは通常、内部でマルウェアを開発するが、今回は外部から入手可能な犯罪マルウェアを利用していたためだ。Moobotはマルウェア「Mirai」の亜種で(注9)、2022年にD-Linkの脆弱なルーターを使った脅威活動に関連していたこともある。
2024年1月下旬に認可されたFBIの作戦では、侵害されたルーターから盗まれたファイルやその他のデータをコピーし、削除した。この操作によって、全米で個人や小規模オフィスによって使用されていたデバイスへのリモートアクセスも無効化された。ユーザーは、デバイスを工場出荷時の状態にリセットすることで、通常のアクセスを回復できるという。
FBIは地元のインターネットサービスプロバイダーと協力し、ルーターの所有者や運営者に通知した。
(注1)Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU)(Department of Justice)
(注2)China-linked hackers primed to attack US critical infrastructure, FBI director says(Cybersecurity Dive)
(注3)CVE-2023-23397 Detail(NIST)
(注4)Guidance for investigating attacks using CVE-2023-23397(Microsoft)
(注5)Detecting malicious activity against Microsoft Exchange servers(wojsko polskie)
(注6)National Cybersecurity Coordination Center (NCSCC)(LinkedIn)
(注7)Fighting Ursa Aka APT28: Illuminating a Covert Campaign(UNIT 42)
(注8)OpenAI, Microsoft warn of state-linked actors’ AI use(Cybersecurity Dive)
(注9)Researchers warn older D-Link routers are under threat from Mirai malware variant(Cybersecurity Dive)
© Industry Dive. All rights reserved.