ロシア関与の「Cyclops Blink」ボットネットがASUS製ルーターを標的に

Charlie Osborne （ZDNET.com）翻訳校正：編集部

2022-03-18 11:36

　「Cyclops Blink」ボットネットがASUS製ルーターを標的に、新たな一連の攻撃を仕掛けているようだ。

　モジュール型マルウェアCyclops Blinkのボットネットは、ロシアの高度で継続的な脅威（APT）グループ「Sandworm/Voodoo Bear」の関与が疑われている。

　英国の国家サイバーセキュリティーセンター（NCSC）、米サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国家安全保障局（NSA）、米連邦捜査局（FBI）は2月下旬、このボットネットについて警告した。

　これらの機関によると、このAPTはロシア軍参謀本部情報総局（GRU）の支援を受けている。そして、2015年にウクライナの電力網を標的にした「BlackEnergy」、2016年の「Industroyer」、2017年の「NotPetya」といった攻撃に関与しているとみられる。

　「Cyclops Blinkは、2018年に発覚した『VPNFilter』に代わるマルウェアのようだ。VPNFilterは主にSOHOのルーターやネットワーク接続ストレージ（NAS）デバイスなど、ネットワーク機器を悪用していた」とCISAらは警告している。

　Trend Microの研究者は今週、Cyclops Blinkは「国家を後ろ盾とするボットネット」だと指摘したが、ロシア国家が真に重点を置いているとみられる標的に対して利用されているわけではないようだ。

　Trend Microによると、このボットネットの規模は非常に大きく、過去および現在の150以上のC2サーバーのアドレスが、このネットワークに属していることが判明した。

　しかし、ボットネットの被害に遭ったWatchGuardの「Firebox」とASUSのデバイスは、「重要な組織や、経済的、政治的、軍事的な諜報活動に明らかな価値を置く組織のものではない」という。これは現在のロシア軍によるウクライナ侵攻を考慮すると、留意すべき重要な点だ。

　ボットネットは精力的に、オンラインで露出されている一般的なデバイスのスレーブ化を行っているようだ。このマルウェアの主な目的は、「価値の高いターゲットへのさらなる攻撃のためのインフラを構築すること」である可能性があるとTrend Microは指摘する。

　Trend Microによると、Cyclops Blinkは少なくとも2019年から存在している。C言語で記述され、TCPを使ってC2サーバーと通信する。OpenSSLの暗号化機能を使っている。

　このモジュール型マルウェアは、デバイスのフラッシュメモリーの読み書きができるため、侵害したデバイスで永続性を維持できる。Trend Microによると、こうした機能により、マルウェアは「ファクトリーリセットを行っても存続する」可能性がある。

　その他のモジュールは、感染したデバイスから情報を収集するほか、ボットネットがウェブから追加ファイルをダウンロードして、実行できるようにする。

　「おそらくASUSは、Cyclops Blinkが現在標的にしているベンダーの1社にすぎないだろう」とTrend Microの研究者は述べている。「他のルーターも影響を受けているという証拠がある一方、現時点では、WatchGuardとASUS以外のルーターからCyclops Blinkマルウェアのサンプルを収集できていない」

　ASUSは現地時間3月17日、セキュリティアドバイザリーを公開した。Cyclops Blinkについて認識しており、「調査中」だとしている。

　同社はユーザーに、デバイスを工場出荷時のデフォルト設定にリセットし、最新のファームウェアに更新するよう呼びかけている。また、デフォルトの管理者認証情報をより強固なものに変更すること、デフォルトで無効になっているリモート管理機能をそのままにしておくことを推奨している。

　Trend Microは、「Cyclops Blinkに感染した疑いがある場合、新しいルーターを購入するのが最善策だ」と述べている。「工場出荷時にリセットした場合、ユーザーの設定は消去されても、攻撃者が改ざんしたオペレーティングシステムは変更されない可能性がある」（同社）

　ASUSによると、影響を受ける製品は以下の通りだ。