アメリカ合衆国司法省(DOJ: United States Department of Justice)は2月15日(米国時間)、「Office of Public Affairs|Justice Department Conducts Court-uthorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU)|United States Department of Justice」において、ロシア連邦軍参謀本部情報総局(лавное разведывательное управление)が管理しているボットネットを妨害したと発表した。この作戦により、侵害されていた小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)ルータのネットワークが無力化されたとしている。

  • Office of Public Affairs|Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU)|United States Department of Justice

    Office of Public Affairs|Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU)|United States Department of Justice

ロシアのボットネットの正体

アメリカ合衆国司法省の発表によると、このボットネットは過去のロシア連邦軍参謀本部情報総局およびロシア連邦保安庁(FSB: Russian Federal Security Service、ФСБ:Федеральная служба безопасности Российской Федер)のマルウェアネットワークとは異なるという。

外部のサイバー犯罪者がデフォルトの管理者パスワードを使用している「Ubiquiti Edge OSルータ」にマルウェア「Moobot」をインストール。その後、ロシアの持続的標的型攻撃(APT: Advanced Persistent Threat)グループのAPT28(別名:Sofacy Group、Forest Blizzard、Pawn Storm、Fancy Bear、Sednit)がMoobotマルウェアを使用して独自の特注スクリプトとファイルをインストールし、世界的なサイバースパイプラットフォームに作り替えたとしている。つまり、脅威グループはボットネットの初期構築に外部のサイバー犯罪者を頼っている。

FBIによる妨害作戦

2024年1月(米国時間)、米国連邦調査局(FBI: Federal Bureau of Investigation)の出張所とサイバー部門、ペンシルバニア州東部地区連邦検事局、米国家安全保障局(NSA: National Security Agency)のサイバーセクションが裁判所の許可を受けた作戦を主導して実施し、APT28が運用していたSOHOルータのネットワークを無力化したという。

このネットワークは米国政府、外国政府、軍、治安機関、企業組織などロシアの諜報活動対象組織への大規模なスピアフィッシング攻撃や、資格情報収集キャンペーンを隠蔽する目的に使用されたとみられている。

妨害作戦ではMoobotマルウェアを利用。マルウェアを使用して侵害されたルータから悪意のあるデータとファイルをコピーし、ルータ上のファイルを削除。さらにルータの正規の所有者が侵害を軽減して制御を取り戻すまでの処置として、ルータのファイアウォール設定を変更してデバイスへのリモート管理アクセスをブロック。妨害作戦を阻止しようとする脅威グループの試みを暴露する非コンテンツルーティング情報の一時的な収集を可能にした。

この作戦では、ルータの通常の機能に影響を与えたり、正規のユーザーコンテンツ情報を収集したりすることはなかったという。作戦により加えられた保護対策は一時的なものであり、ルータを工場出荷状態に戻すかローカルネットワーク経由で設定を変更することで保護をロールバックすることができる。ルータを工場出荷状態に戻した場合、管理者パスワードもデフォルトに戻ってしまうため、再度侵害される可能性がある。

影響を受けたルータの所有者がとるべき修復作業

FBIは、この事案の影響を受けたすべてのルータ(Ubiquiti EdgeRouter)の所有者に対し、次の修復手順を実施することを推奨している。

  1. ルータをインターネットから切り離す
  2. ルータを工場出荷状態に戻す
  3. 最新のファームウェアにアップグレードする
  4. デフォルトのユーザー名とパスワードを変更する
  5. ファイアウォールの設定を変更し、リモート管理サービスへの望ましくないアクセスをブロックする

Ubiquiti EdgeRouterシリーズは比較的安価で日本国内でも流通していた。そのため、デフォルトのパスワードを使用してインターネットに接続している場合、国内のユーザーも同様の侵害を受けている可能性がある。該当する製品を利用している管理者は侵害されているか確認し、侵害されている場合、またはわからない場合は設定のバックアップを取ってから上記の修復手順を実施することが望まれている。