出典: Hans Joachim Aubert / Alamy Stock Photo
また新たなMirai ボットネットの亜種が、外洋船舶で企業が使用しているデジタル録画機器の重大な欠陥を悪用し、海運ロジスティクス分野を脅かしている。この攻撃では、脆弱性を通じてリモートコマンドインジェクションが可能となり、攻撃者は永続化やその他の悪意ある活動のために、Netlink ベースのプロセス監視を確立できる。
Cydome のサイバーセキュリティリサーチチームの研究者らは、海事資産を監視している際に約 10 日前、この亜種を特定し、「Broadside(ブロードサイド)」と名付けたと、同社が本日公開したブログ投稿で述べている。彼らが後に、数カ月前から活動していたことを突き止めたこの攻撃は、CVE-2024-3721を介して DVR システムを標的としている。この脆弱性は、少なくとも 10 月以降、ボットネットによって集中的に攻撃されている複数の IoT 脆弱性の 1 つだ。
この欠陥により、攻撃者はコマンドインジェクションを用いて、海運業界で広く利用されている TBK DVR-4104 および DVR-4216 デジタルビデオレコーダー装置を乗っ取ることができる。この分野は歴史的にサイバーセキュリティの取り組みが乏しく、そのためサイバー攻撃に対して特に脆弱だ。現在の海事資産は、よく知られたセキュリティ欠陥に対するパッチさえおそらく適用されていない、露出したシステムを使用していると、Cydome のマーケティング責任者である Shamar Dumai 氏は Dark Reading に語る。
「ほとんどの海事資産におけるサイバーセキュリティの水準は非常に低い」と同氏は言う。「船上にはサイバーセキュリティ要員がおらず、多くの船舶ではセキュリティ監視、防御、パッチ適用手順がほとんど、あるいはまったく存在しません。」
これらの船舶はレガシーでパッチ未適用のシステムを使用しているだけでなく、攻撃が発生しても検知すること自体が難しいため、攻撃は数カ月もの間、水面下で持続し得ると Dumai 氏は言う。今年初め、インド支援の脅威グループ Sidewinder が海運分野への攻撃を激化させた際にも同様の事例が見られた。さらに、企業が運航する複数の船舶間で攻撃が容易に拡散し得るため、船隊内の複数の船舶がリスクにさらされる可能性が高まると同氏は述べる。
Mirai ― DDoS を超えて進化するボットネット
Mirai は強力なボットネットであり、そのソースコードが2016 年に流出して以来、無数の亜種を生み出してきた。初登場から 10 年以上経った今も、依然として重大なセキュリティ脅威であり続けている。このボットネットは当初、若いハッカーグループによって、人気ビデオゲーム「Minecraft」を動かすサーバーに対する分散型サービス妨害(DDoS)攻撃を行う目的で開発されたが、現在の形態では、ルーターやモノのインターネット(IoT)デバイスを標的に、DDoS を含むさまざまなタイプの攻撃を仕掛けている。
Broadside のケースでは、このボットネットは DDoS 攻撃にとどまらず、システムの認証情報ファイルを積極的に収集しようと試みている。これは、サイバー攻撃者が権限昇格と横方向への移動を狙い、侵害したデバイスを悪意あるオペレーションの戦略的な足掛かりにしようとしていることを示していると、Cydome は指摘する。
具体的には、この亜種は CVE-2024-3721 を悪用し、/device.rsp エンドポイント(HTTP POST)に対するリモートコマンドインジェクションを通じて TBK DVR デバイスを標的にしている。その後の攻撃は、高レートのUDP フラッディング(基本的なペイロード多様化を伴う)、ステルス性の高い永続化のための Netlink ベースのプロセス監視、競合プロセスの動的な終了およびブラックリスト化へと進行する。
技術的には、Broadside は Netlink カーネルソケットを利用したステルス性の高いイベント駆動型プロセス監視を行う点で標準的な Mirai とは異なっており、静的防御を回避するためにペイロード多様化も用いていると、研究者らは述べている。
座礁寸前?サイバー攻撃者から海事資産を守るには
Broadside キャンペーンは現在も継続中であり、研究者らは TCP/1026 上のカスタムプロトコルによるコマンド&コントロール(C2)通信と、TCP/6969 上のフォールバック通信を確認している。この時点では、Broadside は海事資産で流行しているものの、「攻撃グループの意図を断定するのは難しい」と Dumai 氏は述べる。
この種の攻撃が発生した際に海上オペレーションが抱える特有のリスクは、主に衛星通信に依存している点だ。衛星通信は高価であり、多くの場合、帯域幅が制限されている。「これは、いかなるボットネット攻撃であっても、帯域幅を使い果たし、法外なネットワーク利用コストを発生させることで、船舶全体の運航に影響を与え得ることを意味します」と同氏は説明する。
Cydome は侵害の兆候(IoC)を公開し、海運事業者が攻撃を特定・軽減できるようにするとともに、海事船舶を保護するため、自社インフラ内にネットワーク脅威検知機能を実装した。
事業者はまた、影響を受けた DVR システムの利用状況を確認すること、システムが最新状態でパッチ適用済みであることを検証すること、脆弱性スキャンを実施すること、提供された IoC に基づき関連するすべての IP をブラックリスト化すること、そしてすべてのセキュリティシステムをこれらの IoC で更新することによって、攻撃を検知・軽減できると Dumai 氏は述べる。
「ネットワークのセグメンテーションに関するベストプラクティスに従い、重要な運用システムをネットワークの他の部分から分離することも非常に重要です」と同氏は言う。さらに、「多くの攻撃は既知の脆弱性を単に悪用しており、被害者がシステムのパッチ適用に手間取ることに依存しているのです」と付け加えた。
翻訳元: https://www.darkreading.com/threat-intelligence/broadside-mirai-variant-maritime-logistics
