Kimwolfボットネットは、QiAnXin XLabの研究者が、180万台を超えるAndroidベースのデバイスに感染していると報告したことで、厳しい注目を集めています。侵害された“軍勢”にはスマートTV、セットトップボックス、タブレットが含まれ、いずれも現在、リモートリソースに対する攻撃の実行に悪用されています。活動規模は驚異的で、わずか3日間でボットネットはDDoS攻撃を実行するために17億件のコマンドを発行しました。同じ期間に、コマンド&コントロールに用いられたドメイン名の一つがCloudflareの「最もリクエストされたドメイン」一覧の最上位に急浮上し、Googleさえも上回りました。
感染が最も集中しているのは、ブラジル、インド、米国、アルゼンチン、南アフリカ、フィリピンで記録されています。影響を受けたモデルにはSuperBOX、P200、X96Q、各種SmartTVシリーズ、MX10などが含まれます。主な標的は家庭内ネットワークに接続されたデバイスです。正確な感染経路はまだ特定されていないものの、このボットネットがプロキシのリダイレクト、バックドアアクセス、リモートファイル管理を用いることは判明しています。これにより大規模攻撃が可能になるだけでなく、乗っ取ったデバイスを匿名プロキシネットワーク内のノードへと変えることで、オペレーターがトラフィックを収益化することも可能になります。
Kimwolfが初めて明るみに出たのは10月下旬で、アナリストが信頼できるパートナーからマルウェアサンプルを受け取ったことがきっかけでした。それ以降、さらに8つの亜種が確認されています。12月には、研究者がボットネットのコマンドサーバーに対する少なくとも3回のテイクダウン成功を観測しました。これを受けてオペレーターは、インフラを強化するためにEthereum Name Serviceへ移行し、サーバーのIPアドレスを暗号化し、スマートコントラクトを用いてそれらを秘匿的に取得するようにしました。安全な通信はDNS-over-TLSやその他の暗号化技術によって維持されています。
分析によれば、感染デバイスに送信される全コマンドの96%以上は、直接的なDDoS攻撃の実行ではなく、プロキシサービスの提供に関連しています。それでもこのボットネットは、UDP、TCP、ICMPプロトコルにまたがる13種類の攻撃手法をサポートしており、標的は米国、中国、フランス、ドイツ、カナダに所在しています。
Kimwolfには、別のボットネットであるAISURUとの明確な関連も取り沙汰されています。調査担当者によると、両マルウェアファミリーは当初、同一のスクリプトを介して拡散し、署名証明書さえ共有していました。12月には、ある更新サーバー上で発見されたスクリプトにKimwolfとAISURUの双方へのリンクが含まれており、2つのネットワークが同一の犯罪グループによって運用されているという結論をさらに裏付けました。
マルウェアの動作ロジックは比較的単純なままです。実行されると、重複インスタンスが動作していないことを確認し、コマンドサーバーのアドレスを復号し、接続して指示を待ちます。最近のバージョンでは、Ethereumのスマートコントラクトデータを介してIPアドレスを取得する機能が追加され、ボットネットが妨害に対して受けやすい状態をさらに低減しています。
今日のサイバー脅威は、Miraiの時代のように侵害されたルーターやIPカメラから発生するのではなく、テレビやセットトップボックスから発生するケースが増えています。Kimwolfは、この新世代のボットネットの一例にすぎません。従来の防御策をすり抜けながら、数百万台のデバイスを取り込む能力を備えています。
