ロシア関与の「Cyclops Blink」ボットネットがASUS製ルーターを標的に

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2022-03-18 11:36

 「Cyclops Blink」ボットネットがASUS製ルーターを標的に、新たな一連の攻撃を仕掛けているようだ。

 モジュール型マルウェアCyclops Blinkのボットネットは、ロシアの高度で継続的な脅威(APT)グループ「Sandworm/Voodoo Bear」の関与が疑われている。

 英国の国家サイバーセキュリティーセンター(NCSC)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国家安全保障局(NSA)、米連邦捜査局(FBI)は2月下旬、このボットネットについて警告した

 これらの機関によると、このAPTはロシア軍参謀本部情報総局(GRU)の支援を受けている。そして、2015年にウクライナの電力網を標的にした「BlackEnergy」、2016年の「Industroyer」、2017年の「NotPetya」といった攻撃に関与しているとみられる。

 「Cyclops Blinkは、2018年に発覚した『VPNFilter』に代わるマルウェアのようだ。VPNFilterは主にSOHOのルーターやネットワーク接続ストレージ(NAS)デバイスなど、ネットワーク機器を悪用していた」とCISAらは警告している。

 Trend Microの研究者は今週、Cyclops Blinkは「国家を後ろ盾とするボットネット」だと指摘したが、ロシア国家が真に重点を置いているとみられる標的に対して利用されているわけではないようだ。

 Trend Microによると、このボットネットの規模は非常に大きく、過去および現在の150以上のC2サーバーのアドレスが、このネットワークに属していることが判明した。

 しかし、ボットネットの被害に遭ったWatchGuardの「Firebox」とASUSのデバイスは、「重要な組織や、経済的、政治的、軍事的な諜報活動に明らかな価値を置く組織のものではない」という。これは現在のロシア軍によるウクライナ侵攻を考慮すると、留意すべき重要な点だ。

 ボットネットは精力的に、オンラインで露出されている一般的なデバイスのスレーブ化を行っているようだ。このマルウェアの主な目的は、「価値の高いターゲットへのさらなる攻撃のためのインフラを構築すること」である可能性があるとTrend Microは指摘する。

 Trend Microによると、Cyclops Blinkは少なくとも2019年から存在している。C言語で記述され、TCPを使ってC2サーバーと通信する。OpenSSLの暗号化機能を使っている。

 このモジュール型マルウェアは、デバイスのフラッシュメモリーの読み書きができるため、侵害したデバイスで永続性を維持できる。Trend Microによると、こうした機能により、マルウェアは「ファクトリーリセットを行っても存続する」可能性がある。

 その他のモジュールは、感染したデバイスから情報を収集するほか、ボットネットがウェブから追加ファイルをダウンロードして、実行できるようにする。

 「おそらくASUSは、Cyclops Blinkが現在標的にしているベンダーの1社にすぎないだろう」とTrend Microの研究者は述べている。「他のルーターも影響を受けているという証拠がある一方、現時点では、WatchGuardとASUS以外のルーターからCyclops Blinkマルウェアのサンプルを収集できていない」

 ASUSは現地時間3月17日、セキュリティアドバイザリーを公開した。Cyclops Blinkについて認識しており、「調査中」だとしている。

 同社はユーザーに、デバイスを工場出荷時のデフォルト設定にリセットし、最新のファームウェアに更新するよう呼びかけている。また、デフォルトの管理者認証情報をより強固なものに変更すること、デフォルトで無効になっているリモート管理機能をそのままにしておくことを推奨している。

 Trend Microは、「Cyclops Blinkに感染した疑いがある場合、新しいルーターを購入するのが最善策だ」と述べている。「工場出荷時にリセットした場合、ユーザーの設定は消去されても、攻撃者が改ざんしたオペレーティングシステムは変更されない可能性がある」(同社)

 ASUSによると、影響を受ける製品は以下の通りだ。

  • GT-AC5300 ファームウェア3.0.0.4.386.xxxx以下
  • GT-AC2900 ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC5300 ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC88U ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC3100 ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC86U ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC68U、AC68R、AC68W、AC68P ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC66U_B1 ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC3200 ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC2900 ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC1900P、RT-AC1900P ファームウェア3.0.0.4.386.xxxx以下
  • RT-AC87U(EOL)
  • RT-AC66U(EOL)
  • RT-AC56U(EOL)

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]