2018年1月に金融セクターを標的に使用されたMirai-Variant IoTボットネット [レポート]
主な判断
- 最初の攻撃は 2018 年 1 月 28 日 1830 UTC に発生しました。 2 つ目の金融セクター企業は、同じ日時に DDoS 攻撃を受けており、おそらく同じボットネットを利用していました。 3 番目の金融セクター企業は、数時間後の同日2100UTCに同様のDDoS攻撃を受けました。
- 最初の攻撃はDNS増幅攻撃で、トラフィック量はピーク時に30Gb/sに達しました。 その後の2つの攻撃の量を判断するのに十分な情報がありません。
- これらの攻撃が IoTroop によって行われた場合、ボットネットは 2017 年 10 月以降、他の IoT デバイスの脆弱性を悪用するように進化しており、今後もボットネットを伝播して大規模な DDoS 攻撃を促進する可能性が高いことが観察されています。
- 私たちは、ボットネットのコントローラーであると評価する少なくとも7つのIPアドレスを特定し、新しいボットネットインフラストラクチャの攻撃の調整とスキャンに関与している可能性が高いと評価しました。
Executive Summary
Insikt Groupは、 2018年1月下旬 に 、IoTroop またはReaperボットネットに関連している可能性のあるMiraiボットネットの亜種が、少なくとも1社、おそらくそれ以上の企業に対する攻撃に利用されたと評価しています。この評価は、サードパーティのメタデータと既存のオープンソースインテリジェンスに基づいています。 IoTroopは、主に侵害されたホームルーター、テレビ、DVR、IPカメラで構成され、MikroTik、Ubiquity、GoAheadなどの主要ベンダーの製品の脆弱性を悪用した強力なモノのインターネット(IoT)ボットネットです。 IoTボットネットがDDoSで使用されているのはMirai以来初めてであり、IoTroopが被害者を標的に使用されたのは昨年初めてのことかもしれません。
背景
2017年10月、研究者は、TP-Link、Avtech、MikroTik、Linksys、Synology、GoAheadなどの企業が製造した、ルーターやワイヤレスIPカメラなどのIoTデバイスで構成されるIoTroopという名前の新しいボットネットを特定しました。IoTroopは、ボットネットの伝播に使用されたマルウェア(Reaperとも呼ばれる)が「柔軟なLuaエンジンとスクリプトを使用して構築されている 。つまり、以前のエクスプロイトのように事前にプログラムされた静的な攻撃に限定されるのではなく、そのコードをその場で簡単に更新できるため、大規模なインプレースボットネットが利用可能になるとすぐに、より悪意のある新しい攻撃を実行することができる」という点で独特でした。
IoTroopマルウェアは、少なくとも 12 の脆弱性を悪用することができ、新たな脆弱性が明らかになると攻撃者によって更新される可能性があります。 これらの攻撃に使用されたボットネットと IoTroop ボットネットで観察されたベンダー、テクノロジー、および脆弱性の完全な既知のリストについては、付録を参照してください。
2018年2月、オランダ警察は、テクノロジーサイトのTweakersとインターネットサービスプロバイダーのTweakなど、オランダの複数の組織に対してDDoS攻撃を仕掛けた容疑で18歳の男を逮捕しました。この男は、私たちが観察した 金融機関に対するDDoS攻撃 にも関与していたという 憶測がありますが 、その関連性は警察によって確認されていません。
逮捕された人物は、「ストレッサー」またはネットワークストレステストを購入するという名目で、9月の攻撃で使用するためにボットネットを リース したようです。 この人物が1月に観測された攻撃の責任者でもあるとすれば、このMirai亜種のIoTボットネットもそれらの攻撃のためにリースした可能性が高いです。 公開時点では、このボットネットの編集の背後にいるのが誰なのか、2018年1月に観測された攻撃を実行したのは誰なのかはわかっていません。
脅威分析
最初にターゲットにされた金融セクター企業
このボットネットは、それぞれが一意のIPアドレスを持つ少なくとも13,000台のデバイスを使用し、最大30Gb/sのトラフィック量を生成した最初の金融セクター企業を標的にしました。 Insikt Groupは、IPジオロケーション、Shodanのサービスバナー、および追加のメタデータを使用して、ボットネットの構成を分析しました。 候補となるコントローラー、またはボットマスターは、通信中の個別のボットネットクライアントの頻度と数に基づいて最終選考に残りました。 異常な港湾の使用に基づくさらなる異常な活動が注目されました。
私たちの分析によると、最初の企業攻撃に関与したボットネットの80%は侵害されたMikroTikルーターで構成されており、残りの20%は脆弱なApacheおよびIISウェブサーバーから、Ubiquity、Cisco、ZyXELのルーターまで、さまざまなIoTデバイスで構成されていました。 また、IoTデバイスの20%にウェブカメラ、テレビ、DVRが見つかり、MikroTik、GoAhead、Ubiquity、Linksys、TP-Link、Dahuaなどの主要ベンダーの製品が含まれていました。
IoTroopボットネットの発見以来のMicroTikルーターの脆弱性とエクスプロイトの将来のタイムラインを記録しました。
さまざまなメーカーのデバイスの普及は、多くのIoTデバイスで公開されている脆弱性を利用しているように見える、広範で急速に進化しているボットネットを示唆しています。 2017年10月に発表された調査では、IoTベンダーやデバイスの多くが紹介されていますが、Dahua CCTV DVR、Samsung UE55D7000 TV、Contikiベースのデバイスなど、多くのデバイスはこれまでReaper/IoTroopマルウェアに対して脆弱であることが知られていませんでした。
2016年9月のMirai攻撃以降のIoTボットネットとマルウェアの拡散に関する記録された未来のタイムライン。
侵害されたすべてのMikroTikデバイスは、通常MikroTikの帯域幅テストサーバープロトコル用に予約されているTCPポート2000を開いていました。 このポートは通常、新しいMikroTikデバイスではデフォルトで有効になっています。 ボットネット内では、TCP 2000が無効になっているMikroTikデバイス(本番環境で推奨されるセキュリティ対策)は検出されませんでした。
以下は、ボットネットの地理的な内訳のグラフです。
金融サービスセクターを対象としたIoTボットネットクライアントの世界的な分布、2018年1月(Microsoft Excel経由)。
図が示すように、ボットネットクライアントの地理的な広がりは、ロシア、ブラジル、ウクライナに大きく偏っていました。 これは、ボットネットの設定に関連する特定のものではなく、それらの国でのMikroTikのデバイスの人気を反映しているだけである可能性が高いです。 データには合計139の異なる国が存在し、世界中の脆弱なIoTデバイスを広く標的にしていることを示しています。 この分布は、両方のボットネットの上位 5 つのボットネット リストに登場したのがブラジルだけだった元の Mirai ボットネットとは異なりました。
ボットネットのコマンド&コントロールサーバー(または「コントローラー」)と思われる多数のIPを発見し、お客様がこれらのコントローラーを追跡できるように、記録された将来の脅威リストを作成しました。 アクセスするには、諜報機関の担当者に連絡してください。
次の IP アドレスは、ボットネット コントローラーの候補です。 ボリュームだけでもコントローラーの指標となりますが、以下のIPは、さらなるデータに基づいてさらに自信を持っているものです。
98.95.228.104: 私たちが観測した最初の金融セクター企業を対象とした活動の34%には、このIPとの間のUDP DNSリクエストが含まれていました。
71.68.32.251: 同様に、最初の企業からこのIPへの大量の活動が観察されました。
213.160.168.18: このIPでは特定の脅威データは観測されていませんが、これは歴史的にマルウェアの展開と疑わしいプロキシに関連している/24の範囲の一部です。
84.47.111.62: これは、ボリュームとパターンの分析に基づく最上位のコントローラーである可能性が高いです。
次の2つのIPはどちらもスロバキアのものです。 どちらも、予測リスクモデルをトリガーしたため、Recorded Future リスクスコアがわずかに上昇しています。
87.197.166.13 および 87.197.108.40: これら 2 つの IP といくつかのコントローラー間で大量のデータが交換されるのを観測しました。 これらはプライマリ コントローラーであるか、少なくともソースに 1 ホップ近いコントローラーであると考えています。
62.204.238.82: このIPは、DDoS攻撃に元々関与していた13,000のIPの1つでした。 これはチェコ共和国に解決され、メタデータ分析から生成されるトラフィックの約 3% を占めています。 調査期間中に、このIPがフランスの3つの疑わしいインターネットリレーチャット(IRC)サーバー(149.202.42.174、51.255.34.80、5.196.26.96)に繰り返し接続していることが観察されました。 これら3つの疑わしいIRCサーバーすべてが、Recorded Futureの予測リスクモデルを引き起こしました。
対象となった2番目の金融セクター企業
さらに、2018年1月27日から1月28日にかけて、2つ目の金融セクター企業もDDoS攻撃の標的にされたことを確認しました。 この攻撃は、ボットネットのインフラ利用や攻撃のタイミングが重複していることから、同じMirai亜種のIoTボットネットを用いて行われたものと考えています。
分析の過程で、2番目の企業が同じ日に同じMirai亜種のIoTボットネットの標的にされた可能性が高いという証拠を発見しました。 さらに分析を進めると、2番目の会社のIPアドレスは26の一意のIPアドレスと通信しており、そのうち19は最初の金融セクター企業に対する攻撃に関与していたことがわかりました。
対象とする第3の金融セクター企業
また、2018年1月28日、わずか数時間後の2100UTC頃に、第3の金融セクター企業のネットワークで、非常に大量のTCP 443イベントが発生していることもわかりました。 このアクティビティの技術的な詳細は、現在、元のDDoSと比較することはできませんが、これらのイベントの時間的な近接性は、関連性の可能性を示唆しています。
今後の展望
これらの攻撃は、絶えず進化するボットネットによる金融セクターへのDDoSの脅威が続いていることを浮き彫りにしています。 IoTroop/Reaperボットネットとデバイス構成が類似していることは、IoTroopが他のIoTデバイスの脆弱性を悪用するように進化しており、今後もボットネットを構築して金融セクターに対する大規模なDDoS攻撃を容易にするために進化し続ける可能性が高いことを示唆しています。
IoTroopが金融機関を標的にし続けるというデータが増えるにつれ、潜在的なコントローラーを監視し、さらなる攻撃に備えてボットネットに追加される新しいIoTデバイスを特定することがますます重要になります。
Recorded Futureのお客様は、悪意のあるアクティビティを追跡するために、公開されたボットネットコントローラーの脅威リストに登録することをお勧めします。 これらのコントローラーは、ボットネットクライアントに対して発行されたサービス拒否攻撃コマンドに対して、新たな脆弱なIoTインフラストラクチャの積極的なスキャンに従事するだけでなく、その責任も負う可能性があります。
また、IoT デバイスのユーザーは、デバイスが IoT ボットネットに乗っ取られるリスクを軽減するために、次の簡単な対策を講じることをお勧めします。
- 使用後は、必ずデフォルトの製造元のパスワードを置き換えてください。
- デバイスのファームウェアを最新かつ最新の状態に保ちます。
- リモートアクセスが必要なIPカメラや同様のシステムの場合は、VPNに投資してください。
- 不要なサービス(Telnetなど)を無効にし、IoTデバイスに不要なポートを閉じます。
関連