FBI は、VPNFilter の影響を受けたルーターを特定するためにルーターを再起動するよう世界中に呼びかけています。
同社は5月23日水曜日、司法省VPNFilterのメディアリリースで初めて再起動を求めたが、金曜日には「ITクラウド」戦略を強調する独立した公共広告を追加した。
FBI捜査官がVPNFilterボットネットを標的に、ロシアを非難し「国家安全保障上の脅威」と叫ぶ
続きを読む
先週、Cisco Talosの研究者は、このマルウェアが約50万台の家庭用および小規模オフィス用ルーターとNASデバイスに感染したと発表しました。同社は、VPNFilterの標的として、Linksys、MikroTik、Netgear、TP-LinkのルーターとQNAPのストレージシステムを挙げています。
Talos は、このマルウェアがウクライナのマシンを標的にしようとしていると指摘し、FBI は、この攻撃を「Sofacy」または「Fancy Bear」として知られるグループによるものとしている。
FBIは木曜日、この攻撃活動に関連したドメインを押収し、マルウェアのトラフィックを陥落させるチャンスを与えたことを明らかにした。
FBIは、感染したデバイスのIPアドレスを収集し、それをシャドウサーバー財団に渡してISPや米国以外のCERTに配布する予定だと述べた。
先週の木曜日に述べたように、再起動によって削除されるのは感染の一部のみです。感染したデバイスは引き続きコマンド アンド コントロール サーバーに接続しようとします。
公共広告が発表された5月25日時点で、FBIは依然として感染経路は不明であると述べている。
これまでの VPNFilter に対するベンダーの回答は次のとおりです。
- Netgearは、ユーザーはデバイスに最新のファームウェアをインストールし、デフォルトの管理者パスワードを変更し、リモート管理をオフにする必要があると述べています。
- MikroTikは、2017年3月版のOSではマルウェアが無効化されており、デバイスのセキュリティ保護に関する指示を提供していると述べた。
- QNAPは昨年から適切なファームウェアが存在しており、ユーザーにデフォルトの管理者パスワードを変更するよう注意を促した。
- TP-Linkは、VPNFilterは同社のTP-R600VPNルーターにのみ影響すると述べ、ユーザーにファームウェアとセキュリティの指示へのリンクを提供した。
先週のセキュリティ ラウンドアップで述べたように、SecureList は VPNFilter の C&C メカニズムを分析しました。®
