Operation Dying Ember
Dying Emberと命名された作戦が、FBIによって展開されました。
内容は、構築されてしまったボットネットの掃討作戦でした。
どんな脅威に対するどんな作戦だったのでしょうか。
- ボットに感染してしまっていた機器
感染してしまっていた機器は、Ubiquiti Edge OSの搭載されたルーターでした。
Ubiquiti Networks Edgerouterシリーズなどに、このOSは搭載されています。 - 悪用された認証情報
ボットネットの構築を実施した脅威アクターは、認証情報を盗み出したわけではありませんでした。
機器に設定された認証情報を、そのまま利用しただけなのです。
そうです、ターゲットとなったのは、デフォルトのパスワードの設定状態のまま変更することなく利用されている機器でした。
カリフォルニア州の法律をはじめとし、イギリスなどのいくつかの国や地域で、現在はデフォルトのパスワードの設定された機器の販売は禁止されています。
しかし、依然として、デフォルトのパスワードが設定された製品が、そのまま運用されているケースも少なくありません。
そして、そういった機器のなかに、デフォルトパスワードを設定変更する機能は通常あるのですが、変更することなく、そのまま運用されている機器が少なくないのです。
今回、そういった運用状態の機器がターゲットとなりました。 - MooBotの感染
MooBotは、Miraiボットネットマルウェアの亜種です。
2021年から観測されています。
これまでいくつもの脅威活動に悪用されてきたマルウェアです。
今回、まずこのマルウェアに感染した状態が、なんらかの犯罪者によって作られていました。 - MooBotの設置者以外によるMooBotの悪用
MooBotを設置したのではない脅威アクターが、他の犯罪者が設置したMooBotを使って自分たちの脅威活動を実施しました。
設置済みのMooBotを使い、独自の特注スクリプトとファイルをインストールし、ボットネットを世界的なサイバースパイプラットフォームに仕立てて使用しました。 - 掃討前の感染状態
今回掃討されたMooBotの感染端末は、広い地域で確認されていました。
ある時点では、米国のすべての州で感染端末が存在していたということでした。 - ボットネットの掃討作戦
このMooBotの掃討作戦は、米国司法省の認可した作戦でした。
MooBotに感染した機器から感染で設置されたスクリプトを削除し、脅威アクターへの通信ができなくなる通信許可ルールを設定するという内容でした。
この作戦の実施により、一旦は感染機器からMooBotは削除された状態になります。
しかし、これは根本的な対策となっていません。
機器のデフォルトのパスワードは依然としてそのままですので、またそのまま運用を継続すれば、どこかの時点で再度感染した状態となってしまうことでしょう。
この作戦、ちょっと怖いと感じます。
もともとの問題は、機器に設定されたデフォルトパスワードを変更することなく運用しているということから始まります。
ざっくりいうと、こういう流れだったわけです。
- どこかの犯罪者が勝手に機器にマルウェアを仕込む
- その犯罪者でない組織が、その設置済みのマルウェアを悪用して、勝手に機器を本来とは別の用途で使用する
- FBIが勝手に機器に入ってマルウェアを削除して、マルウェアのC2に通信できないように通信許可設定を変更してくれる
全部機器の所有者の知らない間の出来事です。
そして、所有者は状況を理解していないわけですので、デフォルトパスワードを変更することなく運用を継続してしまうのかもしれません。
これは、掃討できたといえるのか、微妙な気持ちになります。
直接的に脅威活動を実施していなくても、誤った設定の実施された状態の機器を公に接続可能な状態で設置していることは、よいことではありません。
自組織でどのような機器がどのように利用されているのかを把握することから対策を始める必要がありそうです。
参考記事(外部リンク):Justice Department Conducts Court-Authorized Disruption of
Botnet Controlled by the Russian Federation’s Main Intelligence Directorate
of the General Staff (GRU)
www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian
