- FBIは数千台のルーターをリモートでリセットしました
- ロシアのGRUは生産終了デバイスに侵入していました
- リセットされたルーターは交換し、ネットワーク設定を確認する必要があります
FBIはロシアがデバイスに侵入してきた方法の詳細を説明する共同プレスリリースを公開した後、数千台のホームルーターと小規模オフィスルーターをリモートでリセットしました。
ルーターの一部のブランドは10年以上持続することで知られており、これは消費者にとって素晴らしいことですが、開発者はしばしばルーターをセキュアに保つための更新リリースを停止します。
これにより、攻撃者による侵害に対して脆弱になり、特にAPT28またはFancy Bearとして追跡されるロシアの参謀本部情報総局(GRU)が少なくとも2024年からセキュアでないルーターを監視してきました。FBIは述べました。
ルーターの交換時期
デバイスが侵害されたデバイスのリストに含まれている場合(以下を参照)、およびリセットされていることを発見した場合、FBIとNSAはできるだけ早くルーターを交換することをお勧めします。
GRUはセキュアでないルーターを監視して機密インターネットトラフィックをインターセプトする可能性があり、個人アカウントと仕事アカウントに侵害されるために使用できる認証情報と認証トークンを含みます。特に、GRUは軍事、政府、および重要インフラ産業の労働者に属するルーターを標的にしてきました。
「FBI、NSA、および共同機関は、SOHOルーターユーザーにデフォルトのユーザー名とパスワードを変更し、インターネットからのリモート管理インターフェースを無効にし、最新のファームウェアバージョンに更新し、サポート終了デバイスをアップグレードするよう促しています。ユーザーはまた、ウェブブラウザーおよびメールクライアント内の証明書の警告を慎重に検討する必要があります」とNSAは述べました。
さらに、FBIとNSAは、従業員が機密情報にアクセスする際にVPNを使用することを推奨しました。GRUに侵害された可能性があると疑う者は、地元のFBI現地事務所に連絡し、インターネット犯罪苦情センター(IC3)に苦情を申し立てるべきです。
米国司法省が発行したプレスリリースは、FBIが法廷の認可を得て侵害されたルーターに送信できるコマンドのシリーズを作成したことを詳しく説明しました。
コマンドは「GRUアクターのアクティビティに関する証拠を収集し、DNS設定をリセット(つまり、GRU DNSリゾルバーを削除し、ルーターがインターネットサービスプロバイダー(ISP)から正当なDNSリゾルバーを取得するように強制)し、GRUアクターが不正アクセスの元の手段を悪用するのを防ぐように設計されました。」
司法省は、作戦がルーターの通常の機能に干渉せず、正当なユーザーデータを収集しなかったことを追加しました。
対象となるルーターの完全なリストは次のとおりです:
- TP-Link TL-WR841N
- TP-Link LTE Wireless N Router MR6400
- TP-Link Wireless Dual Band Gigabit Router Archer C5
- TP-Link Wireless Dual Band Gigabit Router Archer C7
- TP-Link Wireless Dual Band Gigabit Router WDR3600
- TP-Link Wireless Dual Band Gigabit Router WDR4300
- TP-Link Wireless Dual Band Router WDR3500
- TP-Link Wireless Lite N Router WR740N
- TP-Link Wireless Lite N Router WR740N/WR741ND
- TP-Link Wireless Lite N Router WR749N
- TP-Link Wireless N 3G/4G Router MR3420
- TP-Link Wireless N Access Point WA801ND
- TP-Link Wireless N Access Point WA901ND
- TP-Link Wireless N Gigabit Router WR1043ND
- TP-Link Wireless N Gigabit Router WR1045ND
- TP-Link Wireless N Router WR840N
- TP-Link Wireless N Router WR841HP
- TP-Link Wireless N Router WR841N
- TP-Link Wireless N Router WR841N/WR841ND
- TP-Link Wireless N Router WR842N
- TP-Link Wireless N Router WR842ND
- TP-Link Wireless N Router WR845N
- TP-Link Wireless N Router WR941ND
- TP-Link Wireless N Router WR945N
司法省はすべてのルーターの修復対策のリストを含めました:
- 生産終了およびサポート終了ルーターを交換します。
- 利用可能な最新ファームウェアにアップグレードします。
- ルーター設定にリストされているDNSリゾルバーの真正性を確認します。そして
- リモート管理サービスの不要な露出を防ぐためにファイアウォールルールを確認して実装します。
「Operation Masquerade – FBI Bostonが主導 – は、23以上の州で気付かないアメリカ人が所有するルーターを兵器化した、機密政府、軍事、および重要インフラ情報を盗むロシアのGRUから国土を守く方法の最新の例です」とFBIのボストン現地事務所の特別代理人責任者Ted E. Docksは述べました。
「FBIは最先端のテクノロジーを利用し、民間部門と国際パートナーを活用してこの悪意のあるアクティビティを明らかにし、ルーターを修復しました。現在、ルーターを持っているすべての人にそれを保護し、ファームウェアを更新し、必要に応じて交換するよう求めています。協力することで、国家安全保障を損なおうとしている邪悪な国家レベルのアクターから身を守ることができます。」
