マルウェア
Asus製ルータを狙うモジュール型ボット「Cyclops Blink」の技術的機能を解説
レンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。
イギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
さらにトレンドマイクロのデータでは、Cyclops Blinkボットネットは国家の支援を受けて構築されているにも関わらず、それらのC&Cサーバやボットが影響を与えるWatchGuard製FireboxやAsus製デバイスは、重要な組織や、経済的、政治的、軍事的な諜報活動に明らかな価値を置く組織が保有しているわけではないことが明らかとなりました。このためトレンドマイクロは、Cyclops Blinkボットネットが構築された主な理由は、より価値の高い標的組織へさらなる攻撃を実施するためのインフラを構築することであると推測しています。Cyclops Blinkは少なくとも2019年6月から存在しており、かなりの数のC&Cサーバとボットが最大で約3年間稼働状態にあります。
標的型サイバー攻撃者グループ「Sandworm」は、「Cyclops Blink」 / 「VPNFilter」ボットネットの両方を作成しているとされています。2018年に初めて発見されたIoTボット「VPNFilter」は、ルータやストレージデバイスを標的とし、数十万台のデバイスに感染したとも報告されています。本ブログでは2021年5月11日の記事で、VPNFilterボットネットの発見から2年が経過した後も、VPNFilterが感染システムにどのように影響を与え続けているかを解説しました。Sandwormグループは、ウクライナの電力網に対する攻撃キャンペーン「BlackEnergy」(2015年、2016年)、ランサムウェア「NotPetya」を用いた大規模な攻撃(2017年)、フランス大統領選挙に対する「フェイクニュース」キャンペーン(2017年)、マルウェア「Olympic Destroyer」を用いた平昌冬季オリンピックに対する妨害攻撃(2018年)、化学兵器禁止機関(OPCW)に対するスピアフィッシングキャンペーン(2018年)など、多くの注目を集めた攻撃に関与したとされています。
■ ボット型マルウェア「Cyclops Blink」を分析
Cyclops Blinkは、C言語で記述されたモジュール型ボットです。Cyclops Blinkは最初に自身のコアコンポーネント内で実行ファイル名が「[k」で始まっているかどうかを確認します。「[k」で始まっていない場合は、以下の不正活動を実行します。
- 標準出力(stdout)、標準エラー出力(stderr)のファイル記述子を/dev/nullへとリダイレクトする
- シグナル「SIGTERM」、「SIGINT」、「SIGBUS」、「SIGPIPE」、「SIGIO」のデフォルトハンドラを設定する
- 新たなプロセス名「[ktest]」を用いて自身を再読み込みする
次にCyclops Blinkは、ハードコードされたパラメータを設定する前に37秒間待機します。これらのパラメータには、ハードコードされたC&Cサーバ(IPアドレス)のリストと、C&Cサーバとの通信のやり取りに用いられる時間間隔が含まれています。
さらにCyclops Blinkは、データの読み書き用ファイル記述子を2つ取得するためにpipe()関数を呼び出して、プロセス間通信(IPC)に用いるパイプを作成します。そしてCyclops Blinkは、ioctl()を使って、書き込み用ファイル記述子のノンブロッキングI/Oを有効にします。
その後、新たなデータパケットがメモリ内に作成され、C&Cサーバに送信されます。この通信活動の詳細については、本記事の後半で解説します。
Cyclops Blinkは、C&Cサーバとの通信に用いられるハードコードされたTCPポートごとに、libiptc1(ライブラリ)のiptc_insert_entry()関数を使用してLinuxカーネルファイアウォール「Netfilter」内にルールを作成し、出力通信を許可します。作成されるルールは以下のパラメータを持っています。
Protocol: TCP
Chain: filter
Table: OUTPUT
Action: ACCEPT
Destination ports: 636, 994, and 995
理由は不明ですが、Cyclops Blinkは上記のルールを削除し、今度はsystem()関数経由でiptablesコマンドを使用して、再びルールを作成します。iptablesコマンドは以下の通りです。
iptables -D OUTPUT -p tcp --dport %d -j ACCEPT
iptables -I OUTPUT -p tcp --dport %d -j ACCEPT
その後、OpenSSLライブラリが初期化され、コアコンポーネントはハードコードされたモジュールの初期化に進みます。
コアコンポーネントによるモジュールの初期化
本項では、コアコンポーネントがモジュールを初期化する動作について解説します。モジュールとの通信のやり取りはパイプを介して行われます。Cyclops Blinkはハードコードされたモジュールごとに2つのパイプを作成し、それぞれの子プロセス内で実行します。
図1:モジュールを初期化するための関数
トレンドマイクロは図1の情報を元に、以下のようなmod_t構造体を推論しました(図2)。
図2:トレンドマイクロが推論したmod_t構造体;最後のメンバは不明
パラメータ
その後、パラメータが初期化されます。592バイトの構造体であるこれらのパラメータには、パイプを介して各モジュールに送信される以下の必要不可欠な情報が含まれています。
- 文字列のヘッダ「<p:」
- コアコンポーネントのパイプ
- すべてのC&CサーバのIPアドレスおよびポート
- ローカルIPアドレス
- C&Cサーバとの通信間隔
- C&Cサーバに次のパケットを送信する時刻
- メインプロセスのプロセスID
- ハードコードされたID(トレンドマイクロでは、0xA08F078B、0xBD0A5B36、0xA244E5E2を確認)
- パラメータはモジュールへとプッシュされ、この時点で初期化される。
■ C&C通信
モジュールからデータを取得した後、コアコンポーネントは暗号化活動を開始します。これにより、取得したデータはC&Cサーバに送信される前に暗号化されます。
Cyclops Blinkによる暗号化活動
Cyclops Blinkは、感染デバイス内に動的に読み込まれるOpenSSL関数を使ってデータを暗号化します。
データは、ランダムに生成された256ビット鍵と128ビットの初期化ベクトル(IV)を使用する暗号ブロック連鎖(CBC)モードにてAES-256を用いて暗号化されます。次に、各検体に対して一意のハードコードされたRSA-2560(320ビット)の公開鍵を使って暗号化されます。
Cyclops Blinkの作成者は、EVP_SealInit()関数を採用しました。この関数は、ランダムなAES鍵および初期化ベクトルの生成を含む、上記の暗号化手順をすべて実行します。
C&Cサーバは、暗号化されたデータを復号するために、対応するRSA秘密鍵を持っている必要があります。
暗号化後、パケット長が98,303バイトより大きければ、パケットはC&Cサーバへと送信されます。
データ転送
コアコンポーネントはC&Cサーバにデータを送信するために、ランダムに選択されたC&CサーバとランダムなTCPポートを用いてTLSハンドシェイクを実行します(どちらもハードコードされたリストから選択されます)。
コアコンポーネントはC&CサーバとTCPポートのペアを選択した後、C&Cサーバとの通信のやり取りを行うために子プロセスを作成します。作成された子プロセスはC&Cサーバに接続し、SSLソケットに4バイトを書き込みます(図3)。これらの4バイトは、子プロセスがC&Cサーバにパケットを送信する際に求められるサイズです。
図3:子プロセスがSSLソケットに4バイトを書き込むためのコード
C&Cサーバは、正確に4バイトで答えを返す必要があります。返される答えは感染デバイスのIPv4アドレスです。
次に10バイトがコアコンポーネントのパイプに書き込まれます。データは特定の形式に従っています。一例を以下に示します。
| パケット長 | 対象モジュール | コマンド | データ (感染デバイスのIPv4アドレス) |
| 00 00 00 0a | 00 | 07 | c0 a8 00 01 |
その後、コアコンポーネントはC&Cサーバからさらにデータを受信します。この段階でコアコンポーネントは、ハードコードされたRSA-2560の公開鍵を使って復号される暗号化されたパケットを期待します。
Cyclops Blinkは、最初の4バイトがパケットのサイズ(感染デバイスのIPv4アドレス)で、その後に暗号化されたデータが続くレスポンスを待ちます。
図4:C&Cサーバからのデータを受信し、復号するためのコアコンポーネントのコード
Cyclops Blinkは何かしらのデータを受信すると、それを復号して主要なパイプに書き込みます。Cyclops Blinkは、復号時にRSA_public_decrypt()関数を使用します。この関数はRSA暗号化アルゴリズムの「可逆性」を利用して、対応する秘密鍵で暗号化されたデータを復号します。
最後に、パケットを送信すべき次の時刻を示す変数が更新され、すべてのパラメータが再びモジュールに送信されます。これは、コアコンポーネントがC&Cサーバから新たなパラメータを受け取ることができるためです。
コマンド
C&Cサーバから受け取ったデータは、コアコンポーネントそのもの / いずれかのモジュールに対するコマンドで構成されています。
コアコンポーネントはまず、サポートされているコマンドをC&Cサーバに送信してから、コマンドのいずれかを期待するループに入ります。
コアコンポーネントを対象とするコマンドは、以下のいずれかです。
| コマンド ID | 動作 |
| 0 | プログラムを強制終了させる |
| 1 | データ送信間隔を迂回し、C&Cサーバに即座にデータを送信する |
| 2 | メモリ内のリストに新たなC&Cサーバを追加する |
| 3 | C&Cサーバに次のパケットを送信する時刻を設定する |
| 4 | C&Cサーバに次のパケットを送信する時刻を設定する |
| 5 | 新たなモジュールを追加する(コマンドに続いてELFファイルを受信する必要がある) |
| 6 | Cyclops Blinkを再読み込みする |
| 7 | ローカルIPアドレスのパラメータを設定する |
| 8 | 新たなワーカーIDを設定する |
| 9 | 未知のバイト値を設定する |
| 10 | 稼働中のすべてのモジュールに構成情報を再送信する |
ボット型マルウェア「Cyclops Blink」のモジュール
■ Asus (0x38)
このモジュールは、感染デバイスのフラッシュメモリからの読み取り / 書き込みが可能です。フラッシュメモリは、これらのデバイスがオペレーティングシステム(OS)、構成情報、ファイルシステムからのすべてのファイルを格納するために使用されます。今回トレンドマイクロはAsus製ルータ「RT-AC68U」を対象に調査を行いましたが、RT-AC56Uなどの別のAsus製ルータも同様に影響を受ける可能性があります。ただし、Cyclops Blinkは本質的にモジュールであるため、別のIoT機器を標的とするために簡単に再コンパイルできる点に注意が必要です。今回トレンドマイクロが入手した検体は、本記事で解説した条件にて動作しますが、Cyclops Blinkの背後にいる攻撃者は、別のあらゆる型番や他のベンダ(製造業者)のルータを標的にする準備が整っているようにみえます。実際、SandwormグループはCyclops Blinkの同一コードを使用しましたが、WatchGuard製デバイスを攻撃対象とするために再コンパイルしていました。
まず、このモジュールは、感染デバイスのMTD(メモリ・テクノロジ・デバイス)サブシステムに関する一般的な情報を提供する/proc/mtdファイルの内容を確認します。MTDは、感染デバイスのフラッシュメモリにアクセスするための抽象化レイヤを提供します。
Cyclops Blinkは、文字列「linux」および「rootfs」を見つけ出し(図5)、printf()のような形式を使って読み取ります。
図5:文字列「linux」と「rootfs」を見つけ出すためのモジュールコード
トレンドマイクロが推論したmdt_data_tの構造体を図6に示します。
図6:mtd_data_t構造体
データはmtd_data_t構造体に読み込まれます。Asus製ルータ「RT-AC68U」の/proc/mtdの内容は以下の通りです。
図7:Asus製ルータ「RT-AC68U」が持つ一般的な/proc/mtd(MTDパーティションの一部)
したがってこのマルウェアは今回の事例で、Linuxカーネルイメージが格納されているパーティション「/dev/mtd2」を開くことになります。Cyclops Blinkの作成者が、なぜパーティション「linux」 / 「rootfs」のいずれかを読み取ることにしたのかは不明です。トレンドマイクロはこれまでの調査から得た知見に基づき、これらのパーティション2つは全く異なる目的を持っていると推測しており、「linux」がOSを格納するのに対し、「rootfs」は実行ファイル、データ、ライブラリなど、プログラムの重要なファイルを格納します。
Cyclops Blinkはフラッシュメモリから80バイトを読み込み、主要なパイプに書き込んだ後、ループに入ってパーティションの内容を置き換えるコマンドを待機します。(図8)
図8:Asus製ルータを標的とするCyclops Blinkのモジュールが入る主要なループ
コアコンポーネントから来るデータが「<p:」で始まる場合、それはそのデータがこのモジュールに対するパラメータであり、80バイトがフラッシュメモリに書き込まれており、実質的にコンテンツを置き換えられることを意味します。
書き込みはj_save_data()関数によって行われます。図9に示すように、この関数はまずioctl()呼び出しを介してNANDの消去対象ブロックを正しく消去し、次に新たなコンテンツを書き込みます。
図9:RAWフラッシュメモリに新たなコンテンツを書き込むために用いられるAsus製デバイスを標的とするCyclops Blinkのモジュールコード
フラッシュメモリのコンテンツは永続的に機能するため、Cyclops Blinkはこのモジュールを用いて不正活動の持続化を確立することで、工場出荷状態に初期化されても耐えることができます。
関連性を断言することはできませんが、上記のコードは、感染デバイスの「破壊(ブリック)」を目的とした「dstr」と呼ばれるVPNFilterの第三段階のコードにより実行される不正活動を思い起こさせました。VPNFilterが第三段階で実行する不正活動は、多くの重要なファイルやルートファイルシステム全体を削除しようと試みる以外に、RAWフラッシュメモリに多くの0xffバイトを書き込みます(図10)。
図10:RAWフラッシュメモリへの書き込みを行うVPNFilterの不正活動「dstr」(第三段階のコード)
システムを偵察するためのモジュール (0x08)
このモジュールは、感染デバイスからC&Cサーバに情報を送信する役割を担っています。以下に示すデータが感染デバイスから取得されます。
- uname()関数と/etc/issueファイルを呼び出して、Linuxのバージョンを取得する
- sysinfo()関数を呼び出して、感染デバイスのメモリ使用量に関する情報を取得する
- statvfs()関数を呼び出して、SSDのストレージ情報を取得する
- 以下のファイルのコンテンツ:
- /etc/passwd
- /etc/group
- /proc/mounts
- /proc/partitions
- SIOCGIFHWADDR / SIOCGIFADDRコマンドを使って、if_nameindex() / iotctl()関数を呼び出し、ネットワークインターフェイスの情報を取得する
ファイルをダウンロードするためのモジュール (0x0f)
このモジュールは、インターネットからファイルをダウンロードします。DNS over HTTPS(DoH)を使用してDNSによる名前解決が行われます。Cyclops Blinkは、以下のヘッダ(図11)を使用して、Googleが提供するパブリックDNSサーバ(8.8.8.8)にHTTP POSTリクエストを送信します。
図11:DNSによる名前解決を行うために送信されるSSL経由のHTTP POSTリクエスト
このモジュールは、国家サイバーセキュリティセンター(NCSC)によって報告されたCyclops Blinkの亜種が使用するモジュール(0x0f)と同じものの初期版であるとみられています。これらのモジュール間の主な相違点を以下に示します。
- このモジュールにはアップロード機能が備わっていない
- このモジュール内では、ダウンロードをHTTPS経由で行うかどうかを指定するために制御フラグ内の0x1ビットが用いられている
■ Cyclops Blinkにより構築されたインフラストラクチャ
トレンドマイクロは、Cyclops Blinkのボットネットが、侵害されたWatchGuard製デバイスやAsus製ルータによって構築されていることを確認しました。これらの侵害されたデバイスは、Cyclops Blinkが感染したWatchGuard製デバイス上に設置されたC&Cサーバに定期的に接続します。トレンドマイクロは、Asus社 / WatchGuard社以外の少なくとも1社のルータがCyclops BlinkのC&Cサーバに接続している証拠を発見していますが、本稿執筆時点では、当該ベンダ製ルータを侵害したマルウェア検体を収集できませんでした。
Cyclops Blinkのボットネットは、以前から存在していました。インターネット全体を対象としたスキャン履歴のデータとSSL証明書のデータを使用した結果、Cyclops Blinkは少なくとも2019年6月から存在している可能性があります。2019年6月以降、攻撃者はWatchGuard製デバイス上に設置されたさまざまなTCPポートを使用するC&Cサーバで用いられたSSL証明書を50通以上発行していました(トレンドマイクロでは、次のTCPポートの使用を確認しました。636、989、990、994、995、3269、8443)。
トレンドマイクロはAppendix A(文末参照)にて、ネットワーク管理者の方々にお役立ていただけるようCyclops Blinkが使用する稼働 / 非稼働状態のC&Cサーバの一覧を作成しました。トレンドマイクロは、WatchGuard / Asus製ルータに感染したボットの一部が一度もクリーンアップされていないことを観測しました。これらの感染ルータは現在もセキュリティ機能で対処されたかオフラインになった古いC&Cサーバに定期的に接続しようと試みています。
図12:Cyclops Blinkが接続するC&Cサーバのために発行されたSSL証明書の数およびタイムライン
トレンドマイクロの調査では、Cyclops Blinkに感染したデバイスが世界中に200台以上存在することが明らかとなりました。WatchGuard製デバイスやAsus製ルータによる感染被害は、米国、インド、イタリア、カナダと続き多国で確認されていますが、ロシアも含まれています。なお、これらの感染デバイスは、経済的、軍事的、政治的な諜報活動のいずれにとっても、明らかに価値を置く組織というわけではない点に注意が必要です。実際に稼働中のC&Cサーバのいくつかは、ヨーロッパの法律事務所や、南ヨーロッパの歯科医向け医療機器を製造する中規模企業、米国の水道業者が使用していたWatchGuard製デバイス上などに設置されていました。これは、「Pawn Storm」(別称:「APT28」ほか)などの別の標的型サイバー攻撃者グループによって実行されたブルートフォース(総当り)攻撃の増加と一致します。Pawn Stormグループは、ターゲットの電子メールアドレスや電子メールサーバなど数多くのIT資産を侵害しましたが、これらの活動は本来の同グループの目的と一致していません。Pawn Stormグループと同様に、Sandwormグループも不特定多数に対するフィッシング攻撃を行い、より大規模にIT資産を侵害しようと試みています
図13:Cyclops BlinkのC&Cサーバが稼働していた数と月数。
本稿執筆時点で稼働していたC&Cサーバの数を含む
■ まとめとセキュリティ上の推奨事項
過去数年間でIoT機器を狙う攻撃が世界的に増加し、インターネットルータが主要な標的の1つとなっています。これらのデバイスが攻撃対象として好まれる理由はいくつかあり、修正プログラム(パッチ)の適用頻度の低さや、セキュリティソフトウェアの不足、防御側の限られた可視性などが挙げられます。これらのセキュリティ上の弱点が組み合わさることで、「永続的に存在するボットネット」が構築されてしまう可能性があります。攻撃者はIoT機器をマルウェアに感染させることで、インターネットに無制限にアクセスできるようになり、偵察、諜報活動、プロキシなど、攻撃者がやりたいことを実行するためにより多くの段階のマルウェアをダウンロードし展開できるようになります。IoT機器の基盤OSは大半がLinuxであり、多くの強力なシステムツールにも使用されています。これらの理由により、マルウェアをIoT機器に感染させた攻撃者は、自身の攻撃活動を完了させるために必要なものを何でも追加できるようになります。トレンドマイクロはCyclops Blinkにおいて、30ヶ月以上(約2年半)連続して侵害された状態にあるデバイスを確認しており(図13)、これらの感染デバイスは、他のボットのために安定したC&Cサーバとして設定されていました。
国家サイバーセキュリティセンターの報告書では、WatchGuard社を標的とするマルウェアが取り上げられています。トレンドマイクロは、これまでのVPNFilterに関する分析結果に基づき、Sandwormグループによって攻撃されているベンダはもっと多いと推測しています。VPNFilterの標的となったベンダは、Asus社、D-Link社、Huawei社、Linksys社、MikroTik社、Netgear社、QNAP社、TP-Link社、Ubiquiti社、UPVEL社、ZTE社でした。トレンドマイクロは、今回のCyclops Blinkの調査事例において、これまでに報告がなかったAsus製ルータを標的とする検体を入手しました。トレンドマイクロが分析したAsus製ルータを標的とするCyclops Blinkは、以前に解説されたWatchGuard製デバイスを標的とするCyclops Blinkと比較して、いくつかの相違点が見られました。トレンドマイクロが分析した検体は、CPUアーキテクチャの一つである「ARM」用にコンパイルされ、Linux向け小型標準Cライブラリ「uClibc」に動的にリンクされています。さらにこれらの検体は、特にAsus製ルータを標的とするモジュールも含んでいます。Asus社は、現在Cyclops Blinkの標的となっているベンダの1社に過ぎないとみられています。トレンドマイクロは、別のルータも影響を受けているという証拠をつかんでいますが、本稿執筆時点では、WatchGuard / Asus社製以外のルータを侵害したCyclopsBlinkマルウェアの検体を収集できませんでした。Cyclops Blinkの背後にいる攻撃者が使用するマルウェアやインフラを調査することで、影響を受ける可能性のある他のベンダや、このマルウェアがどれほど蔓延しているかについてのいくつかの手がかりを得ることができます。トレンドマイクロは、追加の技術調査結果を共有することで、ネットワーク管理者や、標的型サイバー攻撃者グループ(Sandwormグループなど)の標的となる可能性が高い組織がCyclops Blinkキャンペーンのより正確な全体像を把握できるように支援することを目指しています。
トレンドマイクロは今回の調査結果に基づき、Asus社、WatchGuard社以外のベンダが提供しているIoT機器がCyclops Blinkにより侵害されている事例が存在していると強く確信しています。Cyclops Blinkは本質的にモジュールであり、各ベンダのIoT機器がそうであるように、Cyclops Blinkは背後にいる攻撃者によってよく考え込まれた異なるモジュールやアーキテクチャを備えています。さらにCyclops Blinkボットネットを構築した目的が未だにわかっておらず、分散型サービス拒否(DDoS)攻撃、諜報活動、プロキシネットワークへの利用などが目的かどうかは現在も不明です。しかしながら明らかなことは、Cyclops Blinkが不正ドメインに対するシンクホール化の試み / 自身のインフラに対するテイクダウン(停止措置)に耐える持続性と機能に焦点を当てた高度なマルウェアであることです。Cyclops Blinkの背後にいる標的型サイバー攻撃者グループは、VPNFilterキャンペーンから教訓を得て、ルータなどのIoT機器を攻撃し続けています。
新型コロナウイルス感染症(COVID-19)によるパンデミック(世界的大流行)に対処するために始まったテレワーク時代において、IoT機器が未だに高度な技術を持つ攻撃者の主な標的である理由の1つは、諜報活動にあると推測しています。侵害されるルータの数が多くなるほど、強力なデータの収集源が増加するため、攻撃者はさらなる攻撃活動にそれらのデータを悪用できるようになります。また、分散させたインフラを構築することで、サイバーセキュリティチームによる攻撃全体のテイクダウンをさらに難しくしています。これは、2年以上経過した現在もVPNFilterが稼働している理由でもあります。
■ 被害に遭わないためには
組織は、強力なパスワードを使用し、セキュリティ対策を再検討することで、Cyclops Blink攻撃から自組織を守ることができます。また、インターネット上に公開する必要があるサービスだけに限定して外部公開することも重要です。これらのサービスへのアクセス権は制限する必要があります。これは、外部公開するサービスにリモートでアクセス可能な仮想プライベートネットワーク(VPN)を構成することで実現できます。また、ルータ、カメラ、ネットワーク接続型ストレージ(NAS)機器、その他のIoT機器などのデバイスにパッチが適用されているかどうかを確認するためにリマインダを設定することも重要です。
組織のデバイスがCyclops Blinkに感染している疑いがある場合は、新しいルータを入手することが最善策となります。これは、感染ルータを工場出荷状態に初期化したとしても、組織の設定した構成情報などが消去されるだけで、攻撃者が改ざんした基盤OSの情報は消去されずに残ってしまうためです。特定のベンダが、Cyclops Blinkによる攻撃や、システムが持つ他の弱点に対処可能なファームウェア・アップデートを提供している場合、組織は早急に適用する必要があります。時には使用デバイスが製造中止品となり、ベンダからアップデートがリリースされなくなることがあります。このような場合、一般的にユーザはCyclops Blinkによる感染被害を修正することができません。
本記事で解説した「Cyclops Blink」の亜種は、本質的に複雑なマルウェアですが、Cyclops Blinkを作成したSandwormグループについては、あることが証明されています。標的型サイバー攻撃者グループ「Sandworm」の動機は、主に金銭的利益に動機づけられたグループから予想されるものとは明らかに異なります。Sandwormグループは、過去に多くの注目を集めた攻撃活動に関与したとされており、それらの攻撃活動は多くの組織に大きな影響を与えたことから、特に懸念されています。これにとどまらずSandwormグループは、過去の失敗からすぐに学び、何度も高度化して活動を活発化させており、国際的に与えたこれまでの影響には満足していないように見えます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちら(Appendix)をご参照ください。C&Cサーバ検証スクリプトはこちら(テキストファイル)をご参照ください。
参考記事:
- 「Cyclops Blink Sets Sights on Asus Routers」
by Feike Hacquebord, Stephen Hilt, Fernando Merces
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)