複数国の当局は、これまで観測された中で最も強力なIoTベースのボットネット4つのコマンド・アンド・コントロール(C2)インフラを摘発し、前例のない30 Tbpsのピークに達した記録的な分散型サービス妨害(DDoS)攻撃の波を事実上停止させた。
今回の協調的な作戦は、Aisuru、KimWolf、JackSkid、Mossadの各ボットネットを標的とし、これらの大規模な悪意あるネットワークは2026年3月までに世界中で300万台以上のインターネット接続デバイスを侵害していた。
これらのボットネットは主に、デジタルビデオレコーダー(DVR)、IPカメラ、コンシューマーグレードのルーターなど、不安全でインターネットに露出したIoTハードウェアを悪用していた。多くのデバイスは適切な認証やファームウェアアップデートが欠けていた。
この作戦を特徴付けるものは、感染技術の規模と洗練さであった。
調査官らは、KimWolfとJackSkidの背後にいるオペレータが、従来のファイアウォールの背後にあるデバイスを侵害する能力を持つ高度な悪用方法を展開していたことを発見した。これは事実上、周辺防御をバイパスするものであった。
これはIoTボットネット機能の著しい進化を示し、攻撃者はますます露出したエンドポイントのみに依存するのではなく、内部ネットワーク資産を標的としている。
デバイスを侵害した後、彼らはボットネットへのアクセスを他の脅威アクターにリースし、その脅威アクターは大規模なDDoS攻撃の発動に使用していた。
これらの攻撃は恐喝キャンペーンと関連付けられることが多く、被害者はトラフィック洪水を停止させる代わりに支払いを強要されていた。
標的は民間企業から政府インフラまで及び、米国国防情報ネットワーク(DoDIN)に関連するシステムも含まれていた。
企業にとって、財務的影響は業務停止、インシデント対応コスト、評判上の損害を含み、しばしばインシデント当たり数万ドルに達していた。
テイクダウン前、ボットネットは頻繁に利用されており、攻撃コマンド量がその運用規模を強調していた。
発行されたコマンドの膨大な数は、これらのボットネットがオンデマンド攻撃プラットフォームとしてどのように機能し、複数の標的にわたって同時に高帯域幅の攻撃を実行する能力があったかを強調している。
この摘発は、執行機関とプライベート部門のパートナーの同期された国際的協力の結果であった。
米国では、FBIと防衛犯罪捜査部(DCIS)がボットネット管理に使用されたドメインと仮想サーバーの制御を取得するための差押許可状を執行した。
ドイツでは連邦刑事警察局(BKA)および北ラインウェストファーレン州サイバー犯罪対策部(ZAC NRW)によって並列作戦が実施され、ロイヤルカナディアンマウンテッドポリス(RCMP)、オンタリオ州警察(OPP)、スレテ・デュ・ケベック州警察(SQ)を含むカナダ当局はボットネットの運営または支援を行っていると考えられる個人を標的とした。
この作戦はまた、Cloudflare、Akamai、Amazon Web Services、The Shadowserver Foundationなどの業界パートナーとの緊密な協力にも大きく依存していた。
これらの組織は重要な脅威インテリジェンス、インフラ分析、軽減サポートを提供し、当局がボットネットエコシステムを効果的にマッピングし解体することを可能にした。
C2インフラを差押えることにより、当局は攻撃者と数百万台の侵害されたデバイス間の通信を効果的に遮断し、これらのボットネットがもたらす即座の脅威を中和した。
このアクションは感染したデバイスの進一層の悪用を防ぎ、これらの特定のネットワークから発信される将来の30 Tbps規模の攻撃の可能性を大幅に減らしている。
しかし、この事件はIoTセキュリティの継続的なシステム的弱点を浮き彫りにしている。デバイスの不十分な強化、ファームウェアアップデートの欠如、デフォルト認証情報は、ボットネットオペレータに肥沃な基盤を提供し続けている。
ファイアウォールをバイパスし内部デバイスを侵害する能力はさらに、より高度で永続的なIoT脅威への移行を示している。
セキュリティ専門家は、急速に拡大するIoT環境で敵が戦術を継続的に洗練させている中で、将来同様の脅威を軽減するために、より強力なデバイスレベルの保護、ネットワークセグメンテーション、継続的なモニタリングの必要性を強調している。
翻訳元: https://cyberpress.org/authorities-dismantle-iot-botnet-behind-massive-30-tbps-ddos-attacks/