2018年1月に金融セクターを標的に使用されたMirai-Variant IoTボットネット [レポート]
主な判断
- The first attack occurred on January 28, 2018 at 1830 UTC. A second financial sector company experienced a DDoS attack the same day and time, likely utilizing the same botnet. A third financial sector company experienced a similar DDoS attack a few hours later at 2100 UTC the same day.
- 最初の攻撃はDNS増幅攻撃で、トラフィック量はピーク時に30Gb/sに達しました。 その後の2つの攻撃の量を判断するのに十分な情報がありません。
- これらの攻撃が IoTroop によって行われた場合、ボットネットは 2017 年 10 月以降、他の IoT デバイスの脆弱性を悪用するように進化しており、今後もボットネットを伝播して大規模な DDoS 攻撃を促進する可能性が高いことが観察されています。
- 私たちは、ボットネットのコントローラーであると評価する少なくとも7つのIPアドレスを特定し、新しいボットネットインフラストラクチャの攻撃の調整とスキャンに関与している可能性が高いと評価しました。
Executive Summary
Insikt Groupは、 2018年1月下旬 に 、IoTroop またはReaperボットネットに関連している可能性のあるMiraiボットネットの亜種が、少なくとも1社、おそらくそれ以上の企業に対する攻撃に利用されたと評価しています。この評価は、サードパーティのメタデータと既存のオープンソースインテリジェンスに基づいています。 IoTroopは、主に侵害されたホームルーター、テレビ、DVR、IPカメラで構成され、MikroTik、Ubiquity、GoAheadなどの主要ベンダーの製品の脆弱性を悪用した強力なモノのインターネット(IoT)ボットネットです。 IoTボットネットがDDoSで使用されているのはMirai以来初めてであり、IoTroopが被害者を標的に使用されたのは昨年初めてのことかもしれません。
背景
2017年10月、研究者は、TP-Link、Avtech、MikroTik、Linksys、Synology、GoAheadなどの企業が製造した、ルーターやワイヤレスIPカメラなどのIoTデバイスで構成されるIoTroopという名前の新しいボットネットを特定しました。IoTroopは、ボットネットの伝播に使用されたマルウェア(Reaperとも呼ばれる)が「柔軟なLuaエンジンとスクリプトを使用して構築されている 。つまり、以前のエクスプロイトのように事前にプログラムされた静的な攻撃に限定されるのではなく、そのコードをその場で簡単に更新できるため、大規模なインプレースボットネットが利用可能になるとすぐに、より悪意のある新しい攻撃を実行することができる」という点で独特でした。
IoTroopマルウェアは、少なくとも 12 の脆弱性を悪用することができ、新たな脆弱性が明らかになると攻撃者によって更新される可能性があります。 これらの攻撃に使用されたボットネットと IoTroop ボットネットで観察されたベンダー、テクノロジー、および脆弱性の完全な既知のリストについては、付録を参照してください。
2018年2月、オランダ警察は、テクノロジーサイトのTweakersとインターネットサービスプロバイダーのTweakなど、オランダの複数の組織に対してDDoS攻撃を仕掛けた容疑で18歳の男を逮捕しました。この男は、私たちが観察した 金融機関に対するDDoS攻撃 にも関与していたという 憶測がありますが 、その関連性は警察によって確認されていません。
逮捕された人物は、「ストレッサー」またはネットワークストレステストを購入するという名目で、9月の攻撃で使用するためにボットネットを リース したようです。 この人物が1月に観測された攻撃の責任者でもあるとすれば、このMirai亜種のIoTボットネットもそれらの攻撃のためにリースした可能性が高いです。 公開時点では、このボットネットの編集の背後にいるのが誰なのか、2018年1月に観測された攻撃を実行したのは誰なのかはわかっていません。
脅威分析
最初にターゲットにされた金融セクター企業
このボットネットは、それぞれが一意のIPアドレスを持つ少なくとも13,000台のデバイスを使用し、最大30Gb/sのトラフィック量を生成した最初の金融セクター企業を標的にしました。 Insikt Groupは、IPジオロケーション、Shodanのサービスバナー、および追加のメタデータを使用して、ボットネットの構成を分析しました。 候補となるコントローラー、またはボットマスターは、通信中の個別のボットネットクライアントの頻度と数に基づいて最終選考に残りました。 異常な港湾の使用に基づくさらなる異常な活動が注目されました。
私たちの分析によると、最初の企業攻撃に関与したボットネットの80%は侵害されたMikroTikルーターで構成されており、残りの20%は脆弱なApacheおよびIISウェブサーバーから、Ubiquity、Cisco、ZyXELのルーターまで、さまざまなIoTデバイスで構成されていました。 また、IoTデバイスの20%にウェブカメラ、テレビ、DVRが見つかり、MikroTik、GoAhead、Ubiquity、Linksys、TP-Link、Dahuaなどの主要ベンダーの製品が含まれていました。
IoTroopボットネットの発見以来のMicroTikルーターの脆弱性とエクスプロイトの将来のタイムラインを記録しました。
さまざまなメーカーのデバイスの普及は、多くのIoTデバイスで公開されている脆弱性を利用しているように見える、広範で急速に進化しているボットネットを示唆しています。 2017年10月に発表された調査では、IoTベンダーやデバイスの多くが紹介されていますが、Dahua CCTV DVR、Samsung UE55D7000 TV、Contikiベースのデバイスなど、多くのデバイスはこれまでReaper/IoTroopマルウェアに対して脆弱であることが知られていませんでした。
2016年9月のMirai攻撃以降のIoTボットネットとマルウェアの拡散に関するRecorded Futureのタイムライン。
侵害されたすべてのMikroTikデバイスは、通常MikroTikの帯域幅テストサーバープロトコル用に予約されているTCPポート2000を開いていました。 このポートは通常、新しいMikroTikデバイスではデフォルトで有効になっています。 ボットネット内では、TCP 2000が無効になっているMikroTikデバイス(本番環境で推奨されるセキュリティ対策)は検出されませんでした。
以下は、ボットネットの地理的な内訳のグラフです。
金融サービスセクターを対象としたIoTボットネットクライアントの世界的な分布、2018年1月(Microsoft Excel経由)。
図が示すように、ボットネットクライアントの地理的な広がりは、ロシア、ブラジル、ウクライナに大きく偏っていました。 これは、ボットネットの設定に関連する特定のものではなく、それらの国でのMikroTikのデバイスの人気を反映しているだけである可能性が高いです。 データには合計139の異なる国が存在し、世界中の脆弱なIoTデバイスを広く標的にしていることを示しています。 この分布は、両方のボットネットの上位 5 つのボットネット リストに登場したのがブラジルだけだった元の Mirai ボットネットとは異なりました。
ボットネットのコマンド&コントロールサーバー(または「コントローラー」)と思われる多数のIPを発見し、お客様がこれらのコントローラーを追跡できるように、記録された将来の脅威リストを作成しました。 アクセスするには、諜報機関の担当者に連絡してください。
次の IP アドレスは、ボットネット コントローラーの候補です。 ボリュームだけでもコントローラーの指標となりますが、以下のIPは、さらなるデータに基づいてさらに自信を持っているものです。
98.95.228.104: 34 percent of all activity we observed targeting the first financial sector company included UDP DNS requests to or from this IP.
71.68.32.251: Similarly, we observed a large amount of activity to or from the first company to this IP.
213.160.168.18: We observed no specific threat data on this IP, but it is part of a /24 range that has historically been linked to malware deployment and suspect proxies.
84.47.111.62: This is likely a top controller, based on volume and pattern analysis.
次の2つのIPはどちらもスロバキアのものです。 どちらも、予測リスクモデルをトリガーしたため、Recorded Future リスクスコアがわずかに上昇しています。
87.197.166.13 and 87.197.108.40: We observed large amounts of data exchanged between these two IPs and a couple of the controllers. We believe these could be primary controllers, or at a minimum, one hop closer to source.
62.204.238.82: This IP was one of the 13,000 IPs originally involved in the DDoS attack. It resolves to the Czech Republic, and accounts for almost three percent of the traffic generated from our metadata analysis. During the researched window, we observed this IP make repeated connections to three suspected Internet Relay Chat (IRC) servers in France (149.202.42.174, 51.255.34.80, 5.196.26.96). All three of these suspected IRC servers triggered Recorded Future’s predictive risk model.
対象となった2番目の金融セクター企業
さらに、2018年1月27日から1月28日にかけて、2つ目の金融セクター企業もDDoS攻撃の標的にされたことを確認しました。 この攻撃は、ボットネットのインフラ利用や攻撃のタイミングが重複していることから、同じMirai亜種のIoTボットネットを用いて行われたものと考えています。
分析の過程で、2番目の企業が同じ日に同じMirai亜種のIoTボットネットの標的にされた可能性が高いという証拠を発見しました。 さらに分析を進めると、2番目の会社のIPアドレスは26の一意のIPアドレスと通信しており、そのうち19は最初の金融セクター企業に対する攻撃に関与していたことがわかりました。
対象とする第3の金融セクター企業
また、2018年1月28日、わずか数時間後の2100UTC頃に、第3の金融セクター企業のネットワークで、非常に大量のTCP 443イベントが発生していることもわかりました。 このアクティビティの技術的な詳細は、現在、元のDDoSと比較することはできませんが、これらのイベントの時間的な近接性は、関連性の可能性を示唆しています。
今後の展望
これらの攻撃は、絶えず進化するボットネットによる金融セクターへのDDoSの脅威が続いていることを浮き彫りにしています。 IoTroop/Reaperボットネットとデバイス構成が類似していることは、IoTroopが他のIoTデバイスの脆弱性を悪用するように進化しており、今後もボットネットを構築して金融セクターに対する大規模なDDoS攻撃を容易にするために進化し続ける可能性が高いことを示唆しています。
IoTroopが金融機関を標的にし続けるというデータが増えるにつれ、潜在的なコントローラーを監視し、さらなる攻撃に備えてボットネットに追加される新しいIoTデバイスを特定することがますます重要になります。
Recorded Futureのお客様は、悪意のあるアクティビティを追跡するために、公開されたボットネットコントローラーの脅威リストに登録することをお勧めします。 これらのコントローラーは、ボットネットクライアントに対して発行されたサービス拒否攻撃コマンドに対して、新たな脆弱なIoTインフラストラクチャの積極的なスキャンに従事するだけでなく、その責任も負う可能性があります。
また、IoT デバイスのユーザーは、デバイスが IoT ボットネットに乗っ取られるリスクを軽減するために、次の簡単な対策を講じることをお勧めします。
- 使用後は、必ずデフォルトの製造元のパスワードを置き換えてください。
- デバイスのファームウェアを最新かつ最新の状態に保ちます。
- リモートアクセスが必要なIPカメラや同様のシステムの場合は、VPNに投資してください。
- 不要なサービス(Telnetなど)を無効にし、IoTデバイスに不要なポートを閉じます。
関連ニュース&研究