ここから完全なPDFをダウンロードしてください

主な判断

• 最初の攻撃は 2018 年 1 月 28 日 1830 UTC に発生しました。 2 つ目の金融セクター企業は、同じ日時に DDoS 攻撃を受けており、おそらく同じボットネットを利用していました。 3 番目の金融セクター企業は、数時間後の同日2100UTCに同様のDDoS攻撃を受けました。
• 最初の攻撃はDNS増幅攻撃で、トラフィック量はピーク時に30Gb/sに達しました。 その後の2つの攻撃の量を判断するのに十分な情報がありません。
• これらの攻撃が IoTroop によって行われた場合、ボットネットは 2017 年 10 月以降、他の IoT デバイスの脆弱性を悪用するように進化しており、今後もボットネットを伝播して大規模な DDoS 攻撃を促進する可能性が高いことが観察されています。
• 私たちは、ボットネットのコントローラーであると評価する少なくとも7つのIPアドレスを特定し、新しいボットネットインフラストラクチャの攻撃の調整とスキャンに関与している可能性が高いと評価しました。

Executive Summary

Insikt Group assesses that a Mirai botnet variant, possibly linked to the IoTroop or Reaper botnet, was utilized in attacks on at least one company, and probably more, in the financial sector in late January 2018. This assessment is based on third-party metadata and existing open source intelligence. IoTroop is a powerful internet of things (IoT) botnet primarily comprised of compromised home routers, TVs, DVRs, and IP cameras exploiting vulnerabilities in products from major vendors including MikroTik, Ubiquity, and GoAhead. This is the first time we have observed an IoT botnet being used in a DDoS since Mirai, and it may be the first time IoTroop has been used to target victims since it was initially identified last year.

背景

In October 2017, researchers identified a new botnet named IoTroop, composed of IoT devices such as routers and wireless IP cameras, manufactured by companies including TP-Link, Avtech, MikroTik, Linksys, Synology, and GoAhead. IoTroop was unique in that the malware used to propagate the botnet, also called Reaper, “was built using a flexible Lua engine and scripts, which means that instead of being limited to the static, pre-programmed attacks of previous exploits, its code can be easily updated on the fly, allowing massive in-place botnets to run new and more malicious attacks as soon as they become available.”

IoTroop malware can exploit at least a dozen vulnerabilities and can be updated by the attackers as new vulnerabilities are exposed. See the appendix for a complete known list of vendors, technologies, and vulnerabilities observed in the botnet used for these attacks and in the IoTroop botnet.

In February 2018, Netherlands police arrested an 18-year-old man on suspicion of launching DDoS attacks on several Dutch entities — the technology site Tweakers, and the internet service provider Tweak. There is speculation that this man was also responsible for DDoS attacks against financial institutions that we observed, however, that link has not been confirmed by police.

The arrested individual appears to have leased the botnet for use in the September attacks under the guise of purchasing a “stresser,” or network stress test. If this man is also responsible for the January attacks we observed, he likely also leased this Mirai-variant IoT botnet for those attacks as well. As of publication, we do not know who is behind the compilation of this botnet or who executed the attacks we observed in January 2018.

脅威分析

最初にターゲットにされた金融セクター企業

このボットネットは、それぞれが一意のIPアドレスを持つ少なくとも13,000台のデバイスを使用し、最大30Gb/sのトラフィック量を生成した最初の金融セクター企業を標的にしました。 Insikt Groupは、IPジオロケーション、Shodanのサービスバナー、および追加のメタデータを使用して、ボットネットの構成を分析しました。 候補となるコントローラー、またはボットマスターは、通信中の個別のボットネットクライアントの頻度と数に基づいて最終選考に残りました。 異常な港湾の使用に基づくさらなる異常な活動が注目されました。

私たちの分析によると、最初の企業攻撃に関与したボットネットの80%は侵害されたMikroTikルーターで構成されており、残りの20%は脆弱なApacheおよびIISウェブサーバーから、Ubiquity、Cisco、ZyXELのルーターまで、さまざまなIoTデバイスで構成されていました。 また、IoTデバイスの20%にウェブカメラ、テレビ、DVRが見つかり、MikroTik、GoAhead、Ubiquity、Linksys、TP-Link、Dahuaなどの主要ベンダーの製品が含まれていました。

IoTroopボットネットの発見以来のMicroTikルーターの脆弱性とエクスプロイトの将来のタイムラインを記録しました。

The spread of devices from different manufacturers suggests a widespread and rapidly evolving botnet that appears to be leveraging publicly disclosed vulnerabilities in many IoT devices. While many of the IoT vendors and devices appeared in the research published in October 2017, many of the devices such as Dahua CCTV DVRs, Samsung UE55D7000 TVs, and Contiki-based devices were previously unknown to be vulnerable to Reaper/IoTroop malware.

2016年9月のMirai攻撃以降のIoTボットネットとマルウェアの拡散に関するRecorded Futureのタイムライン。

All of the compromised MikroTik devices had TCP port 2000 open, which is usually reserved for MikroTik’s bandwidth test server protocol. This port is usually enabled by default in new MikroTik devices. No MikroTik devices with TCP 2000 disabled (a recommended security measure in production environments) were discovered within the botnet.

以下は、ボットネットの地理的な内訳のグラフです。

金融サービスセクターを対象としたIoTボットネットクライアントの世界的な分布、2018年1月(Microsoft Excel経由)。

図が示すように、ボットネットクライアントの地理的な広がりは、ロシア、ブラジル、ウクライナに大きく偏っていました。 これは、ボットネットの設定に関連する特定のものではなく、それらの国でのMikroTikのデバイスの人気を反映しているだけである可能性が高いです。 データには合計139の異なる国が存在し、世界中の脆弱なIoTデバイスを広く標的にしていることを示しています。 この分布は、両方のボットネットの上位 5 つのボットネット リストに登場したのがブラジルだけだった元の Mirai ボットネットとは異なりました。

ボットネットのコマンド&コントロールサーバー(または「コントローラー」)と思われる多数のIPを発見し、お客様がこれらのコントローラーを追跡できるように、記録された将来の脅威リストを作成しました。 アクセスするには、諜報機関の担当者に連絡してください。

次の IP アドレスは、ボットネット コントローラーの候補です。 ボリュームだけでもコントローラーの指標となりますが、以下のIPは、さらなるデータに基づいてさらに自信を持っているものです。

98.95.228.104: 私たちが観測した最初の金融セクター企業を対象とした活動の34%には、このIPとの間のUDP DNSリクエストが含まれていました。

71.68.32.251: 同様に、最初の企業からこのIPへの大量の活動が観察されました。

213.160.168.18: このIPでは特定の脅威データは観測されていませんが、これは歴史的にマルウェアの展開と疑わしいプロキシに関連している/24の範囲の一部です。

84.47.111.62: これは、ボリュームとパターンの分析に基づく最上位のコントローラーである可能性が高いです。

次の2つのIPはどちらもスロバキアのものです。 どちらも、予測リスクモデルをトリガーしたため、Recorded Future リスクスコアがわずかに上昇しています。

87.197.166.13 および 87.197.108.40: これら 2 つの IP といくつかのコントローラー間で大量のデータが交換されるのを観測しました。 これらはプライマリ コントローラーであるか、少なくともソースに 1 ホップ近いコントローラーであると考えています。

62.204.238.82: このIPは、DDoS攻撃に元々関与していた13,000のIPの1つでした。 これはチェコ共和国に解決され、メタデータ分析から生成されるトラフィックの約 3% を占めています。 調査期間中に、このIPがフランスの3つの疑わしいインターネットリレーチャット(IRC)サーバー(149.202.42.174、51.255.34.80、5.196.26.96)に繰り返し接続していることが観察されました。 これら3つの疑わしいIRCサーバーすべてが、Recorded Futureの予測リスクモデルを引き起こしました。

対象となった2番目の金融セクター企業

さらに、2018年1月27日から1月28日にかけて、2つ目の金融セクター企業もDDoS攻撃の標的にされたことを確認しました。 この攻撃は、ボットネットのインフラ利用や攻撃のタイミングが重複していることから、同じMirai亜種のIoTボットネットを用いて行われたものと考えています。

分析の過程で、2番目の企業が同じ日に同じMirai亜種のIoTボットネットの標的にされた可能性が高いという証拠を発見しました。 さらに分析を進めると、2番目の会社のIPアドレスは26の一意のIPアドレスと通信しており、そのうち19は最初の金融セクター企業に対する攻撃に関与していたことがわかりました。

対象とする第3の金融セクター企業

また、2018年1月28日、わずか数時間後の2100UTC頃に、第3の金融セクター企業のネットワークで、非常に大量のTCP 443イベントが発生していることもわかりました。 このアクティビティの技術的な詳細は、現在、元のDDoSと比較することはできませんが、これらのイベントの時間的な近接性は、関連性の可能性を示唆しています。

今後の展望

これらの攻撃は、絶えず進化するボットネットによる金融セクターへのDDoSの脅威が続いていることを浮き彫りにしています。 IoTroop/Reaperボットネットとデバイス構成が類似していることは、IoTroopが他のIoTデバイスの脆弱性を悪用するように進化しており、今後もボットネットを構築して金融セクターに対する大規模なDDoS攻撃を容易にするために進化し続ける可能性が高いことを示唆しています。

IoTroopが金融機関を標的にし続けるというデータが増えるにつれ、潜在的なコントローラーを監視し、さらなる攻撃に備えてボットネットに追加される新しいIoTデバイスを特定することがますます重要になります。

Recorded Futureのお客様は、悪意のあるアクティビティを追跡するために、公開されたボットネットコントローラーの脅威リストに登録することをお勧めします。 これらのコントローラーは、ボットネットクライアントに対して発行されたサービス拒否攻撃コマンドに対して、新たな脆弱なIoTインフラストラクチャの積極的なスキャンに従事するだけでなく、その責任も負う可能性があります。

また、IoT デバイスのユーザーは、デバイスが IoT ボットネットに乗っ取られるリスクを軽減するために、次の簡単な対策を講じることをお勧めします。

• 使用後は、必ずデフォルトの製造元のパスワードを置き換えてください。
• デバイスのファームウェアを最新かつ最新の状態に保ちます。
• リモートアクセスが必要なIPカメラや同様のシステムの場合は、VPNに投資してください。
• 不要なサービス(Telnetなど)を無効にし、IoTデバイスに不要なポートを閉じます。