ロシア軍とつながりがあるとみられるハッカーが、ファイアウォールのセキュリティ脆弱性を悪用し、ネットワークに侵入してマルウェアに感染させ、リモートでアクセスできるようにしようとしている。
英国の国家サイバーセキュリティーセンター(NCSC)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国家安全保障局(NSA)、米連邦捜査局(FBI)は、この新たなマルウェア「Cyclops Blink」について詳しく説明し、警告している。ロシア軍参謀本部情報総局(GRU)と関係を持つとされているハッカー集団「Sandworm」が関与している可能性があるという。
NCSCの分析では、Cyclops Blinkは「プロによって開発された」とみられ、「非常に高度なマルウェア」だとされている。
Cyclops Blinkは、「VPNFilter」に代わるマルウェアだとみられる。ロシア政府と関係を持つハッカー集団が、主にルーターなどのネットワーク機器に侵入し、ネットワークにアクセスするために仕掛けた広範な攻撃でこのマルウェアを用いていた。
NCSC、CISA、FBI、NSAによると、Cyclops Blinkは少なくとも2019年6月から使用されている。VPNFilterと同様に、「無差別、広範囲」に導入されているようだ。
感染したマシンからファイルのアップロードやダウンロードも可能だ。モジュール式で、すでに稼働しているマルウェアに新たな機能を追加できる。
これまでのところ、このサイバー攻撃は主にWatchGuardのファイアウォール機器に影響している。Sandwormはこのマルウェアを他のアーキテクチャーやファームウェア向けに作り直すことができる可能性があると警告されている。
Cyclops Blinkは、正規のファームウェア更新プロセスを通じて再起動を続ける。出荷時のデフォルト設定から、外部アクセスのためにリモート管理インターフェースをオープンするよう設定が変更されたWatchGuardのデバイスが感染する恐れがある。
感染した組織が主要な標的であるとは限らないが、感染したマシンが別の攻撃を実行するために利用される可能性がある。
NCSCは、影響を受けた組織に対し、Cyclops Blinkを削除する措置を取るよう促した。Cyclops Blinkについて、WatchGuardが詳しく説明している。
WatchGuardは、「FBI、CISA、米司法省、英国のNCSCと緊密に協力し、WatchGuardは国家が支援する高度なボットネットCyclops Blinkについて調査して、緩和策を展開している。Cyclops Blinkは、限られた数のWatchGuardのファイアウォールアプライアンスに影響が及んだ可能性がある」としている。
「WatchGuardの顧客とパートナーは、WatchGuardによる『4段階のCyclops Blink診断および緩和計画』を速やかに実行することで、ボットネットの悪質な活動によって脅威にさらされる可能性をなくすことができる」(WatchGuard)
Cyclops Blinkに感染したと特定されたデバイスに残されているパスワードはすべて危険にさらされていると想定し、変更するべきだとNCSCは警告している。また、ネットワークデバイスの管理インターフェースがインターネットに公開されていないことを確認するべきだとしている。
NCSCは、マルウェアから保護するために利用できる緩和策として、最新のセキュリティパッチでデバイスやネットワークを最新の状態にしておくことや多要素認証の利用などを推奨している。
またNCSCは、このアドバイザリーはウクライナの現在の状況に直接関係するものではないとしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
