犯罪者たちは現在、ハッキングした IoT デバイスの大規模な軍隊を編成中だ。そのペースは、昨年強力な Mirai ボットネットが勢力を拡大したペースよりもはるかに速い。
Qihoo 360 Netlab の専門家によって IoT_reaper または Reaper と名付けられた、この感染したガジェットの新しいサイバー民兵は、その主人からの指示により、Web サイトを攻撃し、サービスをオフラインで破壊することができます。
セキュリティ企業のチェック・ポイントは木曜日、このボットネットの兵士たちは主にインターネットに接続されたカメラや家庭用ルーターなどの機器を強制的に利用しており、世界中の100万以上の組織に存在していると主張した。
当初、この最新軍団を形成する機器に感染したマルウェアは、2016年に数十万台のインターネット接続機器を乗っ取ったMiraiマルウェアの亜種であると考えられていました。しかし、セキュリティ研究者は現在、別の悪意のあるソフトウェアファミリーであると考えています。このボットネットが具体的にどのような目的で利用されるのかについても、まだ明らかにされていません。
Reaper マルウェアは、CVE-2017-8225 などの組み込みデバイスのさまざまな脆弱性を悪用して、ガジェットの Web ベースのコントロール パネルのユーザー名とパスワードを盗んで使用し、最終的にそれらを乗っ取ることで世界中に拡散しています。
情報セキュリティ企業Pen Test Partnersのケン・マンロー氏は、明日がDNSプロバイダーDynに対するMirai攻撃から1周年であることを指摘した。また、Shodan.ioを用いて、数十万台ものインターネット接続デバイスがReaperの脆弱性にさらされている可能性も確認した。
ジャンクブラスト型IoTボットネットのソースコードが公開される
続きを読む
「Shodanは潜在的なデバイスを示唆しています」と彼は述べた。「すでにどれだけのデバイスが侵害されているかは不明ですが、約200万台が悪用されるのを待っているというコメントを他の場所で見かけました。」
今月、マルウェアは進化を続け、D-Link、TP-Link、Avtech、Netgear、MikroTik、Linksys、Synology などのベンダーのワイヤレス IP ベースのカメラ、ルーター、ストレージ ボックス、Wi-Fi ポイントなどの脆弱性を悪用するようになりました。
例えば、ボットネットのドローンの一つ、TCPポート81でGoAheadの組み込みWebサーバーを実行しているハッキングされたカメラには、System.iniファイルが変更され、リバースシェルを開くNetcatコマンドが追加されていました。これは言い換えれば、Reaperのマスターにデバイスへのコマンドラインを提供するバックドアです。ボットネットのマルウェアがカメラに侵入すると、インターネット上の他の機器への感染を試みます。その後ハッキングされたデバイスは、より脆弱な機器を求めて情報スーパーハイウェイを縦横無尽に巡回します。
「このことから、このマシンは感染経路の一つに過ぎず、感染しただけでなく、感染を拡大させていたことがわかります」と、チェック・ポイントのセキュリティ研究者は述べています。「今回のケースでは、『CVE-2017-8225』の脆弱性がGoAheadデバイスへの侵入に利用され、標的マシンに感染した後、同じ標的マシンが感染先となる他のデバイスを探し始めました。」
今すぐ、脆弱なデバイスがインターネットに公開されていないことを確認し、可能な場合はパッチを適用し、ネットワーク上の不審な動作に注意し、感染している場合はガジェットをオフラインにしてください。®
