FBIは今週初め、TheMoonマルウェアに関連する攻撃が続いていることを理由に、ハイジャックの危険性がある老朽化したルーターを廃棄するよう強く求めました。これと関連して、米国司法省は、旧式のルーターを悪用して犯罪者のトラフィックを誘導していた長年のプロキシサーバーネットワークを運営していたとして、外国人4名に対する起訴状を公開しました。
FBIは水曜日のFLASH速報[PDF]で、家庭や中小企業でよく見られるLinksysとCiscoの老朽化したルーターがサイバー犯罪者の積極的な標的になっていると警告した。
これらのデバイスは、アップデート期限をはるかに過ぎており、5socksおよびAnyproxyドメインを通じて販売される犯罪プロキシネットワークの一部として侵害され、販売されていました。連邦捜査官とセキュリティ研究者によると、このボットネットは悪意のあるユーザーに匿名性を提供し、分散型サービス拒否(DDoS)攻撃を含む様々なサイバー犯罪を可能にしていました。
注意が必要な、埃をかぶった古いルーターは次のとおりです。
- Linksys E1200、E2500、E1000、E4200、E1500、E300、E3200、E1550、WRT320N、WRT310N、WRT610N キット
- Cisco Valet M10
金曜日に発表された司法省の起訴状は、ボットネットの運営方法の詳細を明らかにした。起訴状によると、運営者は7,000台を超える住宅プロキシへのアクセス料として月額9.95ドルから110ドルを請求していたという。検察は、この計画で4,600万ドル以上が得られたとみており、ウェブサイトは「2004年から稼働している!」と謳っていた。
しかし、もうそうではありません。連邦政府が「ムーンランダー作戦」と呼んでいる作戦で、攻撃を実行しているドメインが押収されたからです。
あなたはpwnedされました - クリックして拡大
- うーん、なぜこれほど多くの DrayTek ルーターがブートループに陥るのでしょうか?
- 期限切れのジュニパールーターが中国のスパイハブとして復活
- 謎の悪意ある人物が悪意あるファームウェアアップデートでSOHOルーター60万台を遠隔操作で破壊
- 連邦政府が摘発した家庭用ルーターボットネット?モスクワはおそらくまた試みるだろう
水曜日にFBIが発表した別のPSAでは、ドメイン差し押さえのタイミングと一致する形で、TheMoonマルウェアによるルーター感染の波が報告されています。2014年に初めて確認されたTheMoonは、オープンポートや脆弱なスクリプトを介してルーターに感染することで悪名高いマルウェアです。2024年3月には、プロキシ構築キャンペーンの一環として、72時間以内に6,000台以上のASUSルーターに侵入しました。
FBIのPSAでは、「TheMoonはルーターに感染するのにパスワードを必要としません。開いているポートをスキャンし、脆弱なスクリプトにコマンドを送信します」と説明されています。「マルウェアはコマンドアンドコントロール(C2)サーバーに接続し、C2サーバーは指示を送信します。その指示には、感染したマシンに他の脆弱なルーターをスキャンするよう指示し、感染を拡大してネットワークを拡大することが含まれる場合があります。」
金曜日の起訴状では、ロシア国籍のアレクセイ・ヴィクトロヴィチ・チェルトコフ(37歳)、キリル・ウラジミロヴィチ・モロゾフ(41歳)、アレクサンドル・アレクサンドロヴィチ・シシキン(36歳)、そしてカザフスタン人の仲間ドミトリー・ルブツォフ(38歳)の3名が名指しされた。チェルトコフとルブツォフは、プロキシサービスの運営に使用されたドメインの登録時に虚偽の登録情報を提供した罪でも起訴された。
起訴状は、欧州と米国の法執行機関による合同作戦、そしてルーメンのブラック・ロータス・ラボの支援を受けて作成された。犯人らは、数千ものプロキシへのアクセスを宣伝しながらも、旧式のルーターを悪用し、比較的小規模な活動範囲を維持することで、検出を回避していた。
「ボットネット運営者は、毎日7,000台以上のプロキシを維持していると主張しています。Black Lotus Labsのテレメトリによると、80カ国以上で毎週平均約1,000台のアクティブなプロキシが稼働していることがわかりますが、実際のボット数は潜在的なユーザーに宣伝されている数よりも少ないと考えています」とセキュリティ企業は述べています。®
