TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

米国がロシアAPT28ハッカーが管理するDNSハイジャック・ネットワークを阻止

ロシアのハッキング集団APT28が危険な標的者から認証情報を収集するために侵害したインターネット・ルータの大規模ネットワークが、米国で解体された。

米国司法省(DoJ)は4月7日、発表したところによると、FBIと協力して、23以上の米国州にまたがるドメイン名システム(DNS)ハイジャック・ネットワークの米国部分を無力化した。

このスキームはまた4月7日に、英国のナショナル・サイバーセキュリティ・センター(NCSC)およびマイクロソフト脅威インテリジェンスの両者による報告書で詳しく説明された

2024年に遡るいくつかのキャンペーンでは、APT28は小規模オフィス/ホームオフィス(SOHO)ルータの脆弱性、特にTP-Linkルータを悪用して、トラフィックを攻撃者が管理するDNSサーバーにリダイレクトし、標的組織から認証情報を盗んでいた。

英国と米国の両政府機関はAPT28をロシアの主軍参謀本部情報総局(GRU)軍事ユニット26165に帰属させた。

ペンシルベニア州東部地区の米国司法長官デイビッド・メットカーフは次のように述べた。「ロシア軍事インテリジェンスは再び米国人のハードウェアをハイジャックして重要なデータを支配した。国家的敵対者による継続的な攻撃に直面して、米国政府は同様に積極的に対応する。」

Operation Masquerade: DNSハイジャック・ネットワークのハイジャック

米国の取り組みは「Operation Masquerade」と呼ばれ、裁判所の認可後にFBIボストンが主導した。

ペンシルベニア州東部地区で公開された裁判所文書に記載されている通り、FBIはAPT28によって侵害された米国ベースのルータに送信する一連のコマンドを開発した。

これらのコマンドは、脅威グループの活動に関する証拠を収集し、DNS設定をリセット(APT28によってインストールされたDNSリゾルバーを削除し、ルータにインターネットサービスプロバイダー(ISP)から正当なDNSリゾルバーを取得させる)し、不正アクセスの元々の手段を悪用するのを防ぐために設計されていた。

影響を受けたTP-Linkルータのファームウェアとハードウェアで操作を「広範に」テストした後、DoJはそれがルータの通常の機能や正当なユーザーのコンテンツ情報に影響を与えなかったことを確認した。

「ルータをリセット、削除、または修復するための裁判所認可ステップは、ハードウェアリセットボタンを使用した工場初期化により、正当なユーザーが随時取り消すことができる」とDoJ声明に述べられている。

「正当なユーザーは、ウェブ管理ページにログインして、目的の設定(例えば、工場出荷時設定)を復元することで変更を取り消すこともできる。」

FBIは現在、ISPと協力して、裁判所の認可対象のSOHOルータユーザーに操作の通知を提供している。

Operation Masqueradeには、フィラデルフィア支局およびサイバー部門、ペンシルベニア州東部地区米国司法長官事務所、国家安全保障局の国家安全保障サイバーを含むいくつかの機関が関与していた。

また、Lumenのブラック・ロータス・ラボ、マイクロソフト脅威インテリジェンス、MITリンカーン研究所を含むいくつかの民間部門パートナーとの協力から恩恵を受けた。

FBI サイバー部門副部長ブレット・レザーマンは次のように述べた。「GRU関係者は米国および世界中のルータを侵害し、スパイ活動を行うために それらをハイジャックした。この脅威の規模を考えると、警報を鳴らすだけでは十分ではなかった。」

司法次官補(国家安全保障担当)ジョン・A・アイゼンバーグは、ロシアのキャンペーンを「深刻で継続的な脅威」と呼び、彼の部門は「そのような侵入を検出し、敵対的な外国人行為者を私たちの国のネットワークから追放するために、自分たちの処分にあるすべてのツールを使用し続ける」と述べた。

SOHOルータユーザーに脅威を軽減するよう促す

DoJは、侵害されたルータがあると思われるユーザーに、地元のFBI支局に連絡するか、FBIのインターネット犯罪苦情センター(IC3)に報告書を提出するよう促した。

また、以下のステップを実行するようお勧めします:

  • 古いルータを交換する: ルータが製造元のサポート終了またはサポート終了リストに記載されているかどうかを確認し、必要に応じてアップグレードしてください
  • ルータファームウェアを更新する: 公式なルータブランドのウェブサイトから最新のファームウェアをダウンロードしてインストールしてください
  • DNS設定を確認する: ルータのDNSリゾルバーが正当であることを確認してください
  • リモートアクセスを保護する: 絶対に必要な場合を除き、リモート管理機能を無効にするか、制限してください
  • 公式ガイダンスに従う: 適切なセットアップのためにTP-Link(またはルータブランド)のセキュリティドキュメントを確認してください

「ネットワークを保護することは私たち全員を必要とするため、本日概説した軽減ステップを取るようすべてのルータ所有者に促します」とFBIのレザーマンは述べた。

翻訳元: https://www.infosecurity-magazine.com/news/us-thwarts-dns-hijacking-network/

ソース: infosecurity-magazine.com
#APT28 #DNSハイジャック #GRU #Operation Masquerade #SOHO #TP-Link #サイバー脅威 #ルータ侵害 #ロシア #認証情報盗聴

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新