西側のサイバーセキュリティ機関は、中国政府とのつながりがある中国拠点の企業が運用する大規模ボットネットについて、新たな注意喚起を発出した。
このボットネットは26万台のデバイスで構成され、Miraiマルウェアを実行しているとみられる。対象には、ファイアウォール、ネットワーク接続ストレージ(NAS)、SoHoルーター、ウェブカメラを含むIoTデバイスなどが含まれる。このボットネットは、分散型サービス妨害(DDoS)攻撃、ネットワーク侵害、またはマルウェア配布に利用される可能性がある。
NSA、FBI、Cyber National Mission Forceが発出した共同サイバーセキュリティ勧告によると、このボットネットは中華人民共和国に拠点を置くIntegrity Technology Groupによって制御・管理されている。
同社は、勧告によれば、中国政府とのつながりがあり、中国聯通(China Unicom)の北京省ネットワークのIPアドレスを用いてネットワークを制御している。
このボットネットは2021年半ば以降に稼働しているようで、FBIおよび提携機関によれば、サイバー脅威グループ「Flax Typhoon」の「戦術、技術、インフラ」に一致する活動を示しているという。Flax TyphoonはRedJuliett、Ethereal Pandaとしても知られている。
被害デバイスは、北米および南米、欧州、アフリカ、東南アジア、オーストラリアで確認されている。
ボットネットデバイスの大半(51.3%)は北米で発見され、欧州のデバイスはボットの24.9%を占めた。
ボットネットについて詳しく読む:米主導の作戦で世界最大のボットネットを解体
調査担当者は、ボット化されたデバイス上で少なくとも50種類の異なるLinuxオペレーティングシステムを確認した。多くのデバイスはメーカーによるサポートが継続している可能性が高いものの、機関は、感染したシステムの一部は2016年という早い時期にサポート提供が終了していたと警告した。
ボットネットを防ぐためにデバイスを更新
NSAは、ボットネット感染から守るため、デバイスの所有者、運用者、メーカーに対し機器の更新を呼びかけている。
所有者は、定期的なパッチ適用、強力なパスワードの使用、未使用のサービスやポートの無効化などの対策を講じるべきだ。
「このボットネットには数千台の米国内デバイスが組み込まれており、被害者は幅広い分野に及んでいる」と、NSAのサイバーセキュリティ・ディレクターであるデイブ・ルーバー氏は述べた。「この勧告は、ボットネットのインフラ、侵害されたデバイスが所在する国々、そしてデバイスを保護しこの脅威を排除するための緩和策について、新しくタイムリーな洞察を提供する。」
「ボットネットの運用は、日常的なインターネット接続デバイスの脆弱性を悪用し、大規模なサイバー攻撃を実行し得ることから、英国にとって重大な脅威を意味する」と、英国NCSCの運用担当ディレクターであるポール・チチェスター氏は付け加えた。
「そのためNCSCは、ファイブ・アイズ諸国のパートナーとともに、この勧告に示された指針――インターネット接続デバイスへの更新適用を含む――に基づいて、組織および個人が行動することを強く促している。これは、デバイスがボットネットに組み込まれるのを防ぐ助けとなる。」
共同勧告は、米国と英国に加え、カナダ、オーストラリア、ニュージーランドのセキュリティ機関によって発出された。
翻訳元: https://www.infosecurity-magazine.com/news/nsa-ncsc-china-botnet/
