当局は、Rapper Botの制御を掌握し、「これまで存在した中で最も強力なDDoSボットネットの一つ」とされるこのボットネットから発生する攻撃を阻止したと発表しました。
このボットネット(Eleven Eleven BotnetやCowBotとしても知られる)の制圧と実質的な無力化は、当局がオレゴン州に住む22歳の男性を特定し、少なくとも2021年からこの運用を開発・運営していた疑いで自宅に令状を執行した後に実現しました。
オレゴン州ユージーンのイーサン・フォルツは、アラスカ州連邦地方裁判所でコンピューター侵入の幇助の罪で火曜日に起訴されました。司法省によると、最大で10年の懲役刑が科される可能性があります。
当局によれば、Rapper Botは4月から8月初旬にかけて、1,000のユニークな自律システム番号に属する18,000のユニークな被害者を標的に、37万回以上の攻撃を行ったとされています。
主にデジタルビデオレコーダーやWi-Fiルーターを感染させていたこのボットネットは、65,000台から95,000台のデバイスを感染させ、定期的に高頻度のDDoS攻撃を実施していました。当局によると、Rapper Botは通常2~3テラビット毎秒規模のDDoS攻撃を行い、最大規模の攻撃は6テラビット毎秒を超えた可能性があるといいます。
Rapper Botの攻撃は80か国に影響を及ぼし、DDoS攻撃が最も集中したのは中国、日本、アメリカ、アイルランド、香港だったと当局は述べています。
「Rapper Botは少なくとも2021年から運用されているため、感染したIoTデバイスの数やRapper BotによるDDoS攻撃の回数を考えると、被害者は数百万に上る可能性が高い」と、国防犯罪捜査局(DCIS)の特別捜査官はフォルツに対する刑事告発の宣誓供述書で述べています。
捜査官は、ボットネットのホスティングプロバイダーがPayPalアカウントに紐づいていることを突き止め、フォルツに行き着きました。裁判所命令のもと、PayPalはフォルツがそのアカウントを管理していたことを示す記録と、関連付けられたメールアドレスを捜査官に提供しました。捜査官によると、VPNサービスを利用していたにもかかわらず、同じIPアドレスがフォルツのGmail、PayPal、インターネットサービスプロバイダーへのアクセスに同時に使用されていたことが判明しました。
フォルツに関連するGoogleアカウントからは、彼とRapper Botを結びつける多くの証拠が見つかったと捜査官は述べています。フォルツは「RapperBot」や「Rapper Bot」といった検索を100回以上行っており、これらの検索後にサイバーセキュリティ関連のブログを閲覧していたことから、ボットネットに関する情報をリアルタイムで監視していた可能性があると、裁判資料で当局は述べています。
DCISは8月6日にオレゴン州のフォルツの自宅に令状を執行し、録音された面談の中で「フォルツは自分がRapper Botの主な管理者であると述べた」といいます。フォルツはまた、自身の主なパートナーとして「SlayKings」としか知らない人物の名を挙げ、ボットネットのコードはMirai、Tsunami、fBotボットネットを元にしていると付け加えました。
当局の要請により、フォルツはRapper Botの外部攻撃機能を停止し、ボットネットの管理権限をDCIS職員に引き渡しました。フォルツは逮捕されていませんが、事件に詳しい当局者によると、召喚状を請求しているとのことです。
Akamai、Amazon Web Services、Cloudflare、Digital Ocean、Flashpoint、Google、PayPal、Unit 221Bが捜査に協力しました。
翻訳元: https://cyberscoop.com/rapper-bot-ddos-botnet-disrupted/