司法省は木曜日、過去最大級の広範なDDoSボットネットの1つであるKimwolfを運営していると疑われているカナダ人男性に対する逮捕令状を発行し、起訴したと発表しました。
ジェイコブ・バトラー容疑者はカナダのオタワで水曜日に逮捕され、米国への身柄引き渡しを待っています。同容疑者はコンピューター侵入の幇助容疑で起訴されており、有罪判決を受けた場合は最長10年の懲役に直面しています。
調査官によると、「Dort」という別名を持つ23歳の被告人は、記録的なAisuru DDoSボットネットの亜種であるKimwolfの主要な管理者でした。Aisuruは急速に広がり、運営者が住宅用プロキシネットワークをローカル制御のために悪用する方法を発見した後、200万台を超えるAndroid TVデバイスを乗っ取りました。
3月に当局は、Kimwolf、Aisuru、JackSkid、およびMossadボットネットを支えるインフラストラクチャを押収しました。これらは合計300万台のデバイスを乗っ取り、総合で30万件を超えるDDoS攻撃を実行しました。
他のサイバー犯罪者向けのDDoS傭兵サービスとして機能していたKimwolfは、25,000件以上の攻撃を開始し、ネットワーク障害、混乱、および数百万ドルを超える財政的損失をもたらしたと当局は述べました。当局はまた、Kimwolfが国防総省情報ネットワークのIPアドレスを標的とするDDoS攻撃に関連していることを示す証拠を発見したと述べました。
「Kimwolfおよびこの作戦に関連するボットネットは、継続的な企業侵入の取り組みを支援し、広範な深刻な脅威アクターによって使用されてきました」と、Infobloxのスタッフ脅威研究者であるザック・エドワーズ氏はCyberScoopに述べました。
当局は世界的に調整された作戦中にバトラー容疑者の住宅を捜索しましたが、約2ヶ月後の水曜日まで逮捕しませんでした。当局は4月にアラスカ地区の米国地方裁判所でバトラー容疑者に対する刑事告発を提出し、逮捕後に告発を明かにしました。
防衛犯罪調査局の特別捜査官は、バトラー容疑者が同じIPアドレスを使用して、彼が制御する複数のメールアカウントとKimwolfにリンクされたDiscordアカウントにアクセスした後、バトラー容疑者の身元とKimwolfボットネットへの関与を確認しました。
「バトラー容疑者の重大な運用上のセキュリティ上の欠陥により、バトラー容疑者の本名のGoogleアカウント、同じマシンクッキーの使用により私がバトラー容疑者に制御されていると信じている他のGoogleアカウント、およびKimwolfの支援に使用されているDiscordアカウント間でのIP使用の重複パターンが観察されました。
」と特別捜査官は宣誓供述書で述べました。
「Discordアカウントは、KimWolfバックエンドサーバーとのIP使用の重複パターンを示しています。これらのIPアドレスは、バトラー容疑者が法執行機関の監視を回避するための失敗した試みで使用した可能性があるプロキシまたはVPN IPであると思われます。ただし、多くのサイバー犯罪者と同様に、バトラー容疑者はプロキシまたはVPN IPアドレスを専用には使用していませんでした」と特別捜査官は付け加えました。
当局は3月のボットネット摘発をその時点でほぼ決定的な用語で説明しましたが、裁判所の記録はKimwolfボットネットが再び稼働していることを示しています。
「今日の発表を見るのは励みになりますが、依然として何億台もの安全でないIoTおよびネットワークデバイスが、政府、企業、および家庭の機密ネットワークに接続されており、これらはKimwolfの次のバージョンを構築しようとしている脅威アクターの優先目標のままです」とエドワーズ氏は述べました。
「この根本的な問題の解決策を見つけるまで」と彼は付け加えました。「残念ながら、私たちはボットネット運営者とのモグラたたきを毎年続けることになるでしょう。」
バトラー容疑者に対する刑事告発を支援する宣誓供述書は以下で読むことができます。
翻訳元: https://cyberscoop.com/kimwolf-botnet-alleged-administrator-jacob-butler-arrested-canada/
