Cisco Japan Blog

VPNFilter の大惨事回避から 1 年

1 min read



 

Cisco Talos が VPNFilter の存在を最初に公開したのは、2018 年 5 月 23 日のことです。ある国により開発されたこの高度なマルウェアは 50 万台のデバイスに感染し、大混乱となる寸前だったため、世界を席巻する話題となりました。しかし、攻撃は回避されました。攻撃者のコマンド アンド コントロール(C2)インフラストラクチャが FBI によって掌握され、感染デバイスへのブロードキャスト命令は阻止されました。攻撃者は感染システムを制御できなくなり、起こりえた大惨事は免れました。

これは、国の後ろ盾による新種の脅威に対する注意を、サイバーセキュリティ コミュニティに喚起する警鐘となりました。その脅威とは、機密事項を持ち去り、素性を隠してネットワークをシャットダウンさせる危険性のある、世界中に広がった感染デバイスの巨大なネットワークです。

ここでは、VPNFilter と回避された大惨事について述べます。

標的としてのネットワーク

ネットワーク インフラストラクチャは、攻撃者にとって魅力的で有用な標的です。コンピューティング システムと同様に、ルータやスイッチなどのネットワーク デバイスには、攻撃者がデバイスを侵害できる脆弱性や不良構成が含まれている可能性があります。侵害を受けると、そのデバイスが他のシステムを探し出して攻撃するための侵入ポイントとして使用されたり、デバイスの機能が攻撃者の意図するように変更されたり、ネットワーク トラフィックが傍受、変更、または再ルーティングされたりする危険性があります。他の多くのコンピューティング システムとは異なり、ルータやスイッチは、アンチウイルス ソフトウェアを実行していたり、異常なアクティビティに気づきそうな観察眼に優れた管理者によって積極的に監視されていたりすることはほとんどありません。

VPNFilter が発覚する前の数週間で、その国家支援の脅威がネットワーク インフラストラクチャを次第に標的にしていったことは明らかでした。ロシアに関係する攻撃者のアクティビティが確認されており、世界中の政府機関から各組織に注意を促す勧告がなされました1popup_icon2popup_icon3popup_icon

VPNFilter のトレース

2015 年 12 月に、何者かが目立たないドメイン toknowall.com を登録しました。そのドメインは、当初はブルガリアのホスティング プロバイダーをポイントしていましたが、2017 年 5 月 4 日に、フランスでホストされている IP アドレスをポイントするように変更されました。当時は誰にもわかりませんでしたが、これは攻撃者が VPNFilter と通信する手段の 1 つでした。このドメインは、2018 年 5 月 23 日に脅威が無効化されるまでアクティブなままになります。

2017 年 8 月末までに、FBI は異常な動作を示すホーム ルータについて報告を受けていました。このデバイスは、Photobucket アカウントに接続してイメージをダウンロードしようとしました。明らかにマルウェア感染によって引き起こされている動作でした4popup_icon

実際、Photobucket アカウントと toknowall.com ドメインの両方で、攻撃者がマルウェアに命令を発行するために使用する C2 サーバの IP アドレスが隠されたイメージがホストされていました。この IP アドレスは、イメージの EXIF メタデータ内に隠されていました。

2018 年 3 月までに、さらにマルウェア サンプルが発見されました。このサンプルは Photobucket にもアクセスし、Photobucket が利用できなかった場合のバックアップとして toknowall.com を使用していました。このマルウェア サンプルを分析することで、攻撃者が重要な手掛かりを意図せず残していたことがわかりました。

マルウェアの機密情報内に重要なデータを保持するために、その悪意のあるコードには暗号化が使用され、RC4 暗号化アルゴリズムが実装されていました。ところが、このアルゴリズムを実装するコードにはわずかな誤りがありました。この誤りは、ウクライナなどの国に対する BlackEnergy 攻撃で使用されたコードに含まれていた誤りと同じものでした5popup_iconをご覧ください。。このように攻撃間でコードが再利用されていたことから、政府機関は、この攻撃を仕掛けたのが APT28 または「Sofacy」と呼ばれるグループであることを特定できました6popup_icon

BlackEnergy と APT28

各攻撃者グループには、攻撃の一環として示される独自の動作モード、設定、特性があります。たとえば、Group 123 は、朝鮮半島で政治に言及するドキュメントを配布して攻撃を行うことが知られています7popup_iconをご覧ください。。一方、Rocke という攻撃者は、Git リポジトリからコードをダウンロードして、感染デバイスに暗号通貨マイニング ソフトウェアをインストールしようとします8popup_iconをご覧ください。。攻撃者はコードまたはインフラストラクチャを再利用することが多いため、研究者はそこから攻撃者グループを特定し、そのキャンペーンを追跡することができます9popup_iconをご覧ください。。

Sofacy または Grizzly Steppe とも呼ばれる APT28 は、アナリストが追っている多くの攻撃者グループの 1 つです。この攻撃者がロシアのインテリジェンス サービスの一員であることはほぼ間違いなく、特に活発に活動しており、混乱を引き起こす可能性があることに疑いの余地はありません10popup_icon11popup_icon

BlackEnergy 攻撃は、このグループが行った最も悪名高い攻撃の 1 つです。2015 年 12 月に、BlackEnergy によってウクライナで電力供給が中断され、国中で大規模停電が引き起こされました7popup_iconをご覧ください。。この攻撃独自の特徴は、ディスクを消去するコンポーネントでした。このコンポーネントによって感染デバイスが動作不能になり、攻撃がどのように実施されたかを正確に把握するためのフォレンジック上の証拠が破壊されました12popup_icon。。

このようにシステムを破壊してリカバリを阻止することが目的とされるため、VPNFilter に迅速に対応することが非常に重要でした。

機能と目的

VPNFilter は、さまざまなネットワーク デバイスをエクスプロイトし、少なくとも 54 ヵ国で 500,000 台以上のデバイスに影響を及ぼしました。攻撃者はマルウェアのモジュール式アーキテクチャを利用することで、さまざまなモジュールをインストールし、感染デバイスからさまざまな悪意のあるアクティビティを実行することができました。

このマルウェアは、簡単に言うと、感染デバイスを「ブリック」する、つまり完全に動作不能にする機能を備えていました。また、このマルウェアをネットワーク上の侵入ポイントとして使用し、その後、感染デバイスに接続されている他のシステムを検出して攻撃することもできました。1 つのモジュールに、産業制御システムで広く使用されているプロトコルである Modbus ネットワーク トラフィックを特定してモニタする機能が搭載されていました。

さらに、侵害を受けた多くのシステムで構成される巨大な Tor ネットワークを作成できるモジュールもありました。このネットワークを利用することで、侵害を受けた他のシステムから盗まれたデータの最終的な宛先、つまりシステムに対する攻撃元の国を偽装できる可能性があります。

データ、特にユーザ名とパスワードのキャプチャが攻撃の目的の 1 つであることは明白でした。このマルウェアは、暗号化された HTTPS 接続を暗号化されていない HTTP 接続にダウングレードし、そのトラフィックを将来収集するために保存できました。同様に、ユーザ クレデンシャルや認証トークンのようなものを特定して記録し、その後収集することができました。

マルウェアに感染したルータはネットワーク トラフィックを目的の宛先に転送するため、マルウェアはルーティング情報を変更し、特定のトラフィックのカスタム宛先を作成することができました。トラフィックを正規の宛先から攻撃者が管理する別のシステムにリダイレクトできたのです。このようなふるまいのすべてが、エンド ユーザに一切の異変が知らされることなく完了します。

対応

影響を受けたシステムの数は、2018 年の春を通じて増加しました。しかし、5 月 8 日と 17 日に、新たな感染数の急増が見られました。この急増はほぼウクライナでのみ見られ、攻撃準備が整いつつあることがわかりました。

この時点で Talos は、脅威を無効化するために官民両方のパートナー組織と協力しました。FBI が主導して C2 インフラストラクチャを押収すると同時に6popup_icon。、Talos は業界連合グループ Cyber Treat Alliance のメンバーに知らせて、脅威を無効化するためにサイバー セキュリティ業界全体で連携できるようにしました13popup_icon。。

緊密に連携した対応でした。法執行機関が C2 インフラストラクチャをダウンさせたことで、攻撃者は感染システムにコマンドを送信できなくなりました。サイバー セキュリティ業界は、VPNFilter を検出してブロックするようにセキュリティ製品を更新し、ユーザに向けて自己防衛の方法に関するアドバイスを発表しました。

回避された攻撃の性質を正確に知る術はありません。感染が増加するタイミングを踏まえると、6 月 29 日のウクライナ憲法記念日、6 月 27 日の NotPetya 記念日、または 5 月 28 日の聖霊降臨祭の月曜日が目標日であった可能性があります。ウクライナのセキュリティ サービスは、5 月 26 日にキエフで開催された UEFA チャンピオンズ リーグの決勝戦を妨害するように攻撃のタイミングが調整されていたと述べています14popup_icon

保護

VPNFilter の一部はメモリに存在し、一部は感染したデバイスのストレージ メディアに存在していました。デバイスをリブートすると、マルウェアのメモリに存在する部分はクリアされますが、デバイス ストレージに存在するマルウェア コンポーネントは、コマンド アンド コントロール システムとの接続を開始できます。ただし、C2 が無効にされると、マルウェアの永続的に存在する部分で命令を受け取ることができなくなります。

マルウェアの残骸をクリアするには、デバイスを工場出荷時の設定にリセットしてから、最新バージョンにパッチを適用して脆弱性を削除します。VPNFilter のインストールに悪用された脆弱性は依然として不明ですが、侵害を受けたすべてのタイプのデバイスに既知の脆弱性が存在していました。

ネットワーク トポロジでの位置を考えると、境界ネットワーク デバイスは常に攻撃にさらされることになります。既知の脆弱性があるパッチ未適用のデバイスがインターネットに接続していると、APT28 などの攻撃者の侵害を受ける危険性があります。

このようなデバイスにパッチを完全に適用し、正しく設定しておくことが、ネットワーク対策には不可欠です。ただし、これを確実に実行できない場合は、デバイスを次世代ファイアウォールの内側に配置して、脆弱なデバイスが影響を受ける前に攻撃を検出してブロックする必要があります。

また、優れたネットワーク対策を実現するには警戒を怠らないことも必要です。VPNFilter が最初に検出されたのは、感染デバイスの異常なネットワーク動作が特定されたときでした。ネットワークは、攻撃者の行動を検出して通知するセンサーとして最適な存在です。

まとめと影響

Talos と FBI は連携して VPNFilter の特定と特性分析に取り組みました。このマルウェアのマルチステージのモジュール式プラットフォームは、インテリジェンス収集操作と破壊的サイバー攻撃操作の両方を実行するものでした。このキャンペーンにより、少なくとも 54 ヵ国で 500,000 台以上のデバイスが感染しました。このマルウェアは、大規模な破壊的攻撃を実行するために使用される可能性がありました。その場合は、感染した物理デバイスが使用不能になり、何十万ものユーザのインターネット アクセスが絶たれていたでしょう。しかし、脅威の特定と特性分析に加え、官民両方で連携した対応を行ったことで、大惨事が発生する前に攻撃を阻止できました。

さまざまな組織がかつてないほど連携して取り組んでいました。運用上のセキュリティを維持するために情報を非公開にすることと、パートナー間で共有して連携することが常に両立されており、攻撃者に対する影響を最大限に高めて攻撃の重大度を軽減しています。VPNFilter のケースで Talos が Cyber Threat Alliance を早期に引き込んだことにはこれまでにも実績があり、これが他のパートナーを早期に引き込んで、データをより頻繁に共有することにつながっています13popup_icon

VPNFilter の悪意のあるさまざまなモジュールが特定されたことで、攻撃者の目的と要求を把握できます。特に、攻撃者はルータを感染させることで、ネットワーク トラフィックを目的の正当な宛先から攻撃者が管理する悪意のある宛先に再ルーティングできます。この機能を使用すると、さらにユーザ名とパスワードを収集することや、ネットワーク トラフィックを目的の宛先に渡す前に傍受して読み取り、中間者攻撃を行うことができます。

APT28 は、破壊的な攻撃を仕掛け続ける多くの攻撃者の一例にすぎません。先頃 Talos は、Sea Turtleをキャンペーンを発見しました。 攻撃を仕掛けている未知の攻撃者は APT28 とは異なりますが、この攻撃者もまた、中間者攻撃やユーザ クレデンシャルの収集のために、インターネット トラフィックを再ルーティングしようとしていました。ただし、インターネットの DNS インフラストラクチャを攻撃するという、VPNFilter とはまったく異なるアプローチで目的を達成しました15popup_icon

ネットワーク インフラストラクチャが国家支援の脅威による攻撃の標的になっていることは明白です。攻撃者は引き続きこうしたシステムを侵害しようとし、目的達成のためにマルウェアの改良と開発を継続すると予測されます。攻撃者は過去の失敗からしか学習できません。次の攻撃は避けられず、そのマルウェアでは、ネットワーク トラフィックに残される痕跡が少なくなり、中断に対する耐性が高まったより高度な C2 インフラストラクチャが使用されると予測されます。

ネットワークは公私共に生活の中心的存在で、ますます物理的環境の中核になっています。ネットワークに接続する小型デバイスは見過ごされがちですが、国の重要なインフラストラクチャや企業が機能できるのはこうしたシステムのおかげです。

VPNFilter は、攻撃者がこうしたシステムの重要性を見過ごさないことと、社会を破壊しようとしている敵がネットワークを狙っていることを思い知らせるものでした。しかし、攻撃者はこの攻撃を仕掛ける中で、独自のテクノロジーと開発をもくろんでいる機能を意図せず漏らしました。これらの手掛かりは、準備されている次の攻撃を探す場所と方法をつかみやすくしてくれるでしょう。

Talos は、脅威をこれまでにないレベルにまで可視化して、変化する脅威の状況を分析し、パートナーと協力してお客様を保護し続けます。それでも、サイバー セキュリティは誰もが懸念する問題です。Talos は一丸となって、十分なセキュリティ保護を確保し、ネットワークに接続されているすべてのデバイスが常に更新され、パッチが完全に適用されるようにすることで、次の攻撃を防ぐよう努めます。

次の大規模攻撃がどのようなものかはわかりませんが、Talos はアクティビティを阻止し、大惨事を未然に食い止めることができるよう、迫り来る攻撃のヒントや手掛かりを探し続けます。

参考資料

[1]. 「The Increasing Threat to Network Infrastructure Devices and Recommended Mitigations(ネットワーク インフラストラクチャ デバイスに対する脅威の増加と推奨される防御策)」、米国国土安全保障省。https://cyber.dhs.gov/assets/report/ar-16-20173.pdfpopup_icon [英語]

[2]. 「UK Internet Edge Router Devices: Advisory(英国のインターネット エッジ ルータ デバイス:勧告)」、英国国家サイバー セキュリティ センター。https://www.ncsc.gov.uk/information/uk-internet-edge-router-devices-advisorypopup_icon [英語]

[3]. 「Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices(ロシアの国家関連のサイバー攻撃者がネットワーク インフラストラクチャ デバイスを標的に)」、米国国土安全保障省。https://www.us-cert.gov/ncas/alerts/TA18-106Apopup_icon [英語]

. 「Affidavit in Support of an Application for a Seizure Warrant(押収令状の申請を裏付ける宣誓供述書)」、ペンシルベニア州西部地区連邦地方裁判所。https://www.justice.gov/opa/press-release/file/1066051/downloadpopup_icon [英語]

[5]. 「New VPNFilter malware targets at least 500K networking devices worldwide(新しい VPNFilter マルウェアは世界中の少なくとも 500,000 のネットワーク デバイスを標的にしている)」、Talos。https://blog.talosintelligence.com/2018/05/VPNFilter.htmlpopup_icon [英語]

[6]. 「Justice Department Announces Actions to Disrupt Advanced Persistent Threat 28 Botnet of Infected Routers and Network Storage Devices(司法省、感染したルータとネットワーク ストレージ デバイスの Advanced Persistent Threat 28 ボットネットを破壊する処置を発表)」、米国司法省。https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infectedpopup_icon [英語]

[7]. 「Korea In the Crosshairs(標的にされる韓国)」、Talos。https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.htmlpopup_icon [英語]

[8]. 「Rocke: The Champion of Monero Miners(Rocke:Monero の代表的マイナー)」、Talos。https://blog.talosintelligence.com/2018/08/rocke-champion-of-monero-miners.htmlpopup_iconをご覧ください。 [英語]

[9]. 「Groups(グループ)」、MITRE ATT&CK。https://attack.mitre.org/groups/popup_icon [英語]

[10]. 「GRIZZLY STEPPE ? Russian Malicious Cyber Activity(GRIZZLY STEPPE:ロシアの悪意のあるサイバー アクティビティ)」、米国国土安全保障省および連邦捜査局。https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdfpopup_icon [英語]

[11]. 「Reckless campaign of cyber attacks by Russian military intelligence service exposed(ロシアの軍事インテリジェンス サービスによる無謀なサイバー攻撃キャンペーンが暴かれる)」、英国国家サイバー セキュリティ センター。https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposedpopup_icon [英語]

[12]. 「Cyber-Attack Against Ukrainian Critical Infrastructure(ウクライナの重要なインフラストラクチャに対するサイバー攻撃)」、米国国土安全保障省。https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01popup_icon [英語]

[13]. 「Information Sharing in Action: CTA’s Incident Review of VPNFilter(情報共有を実現:CTA による VPNFilter のインシデント レビュー)」、Cyber Threat Alliance。https://www.cyberthreatalliance.org/information-sharing-action-cta-incident-review-vpnfilter/popup_icon [英語]

[14]. 「The SBU warns of a possible large-scale cyberattack on state structures and private companies ahead of the Champions League final(Google による翻訳)(SBU、チャンピオンズ リーグの決勝戦に先駆けて、国家機構と民間企業に対する大規模なサイバー攻撃の可能性を警告)」、ウクライナのセキュリティ サービス。https://ssu.gov.ua/ua/news/1/category/21/view/4823#.Xa4RX7cc.dpbspopup_icon [ウクライナ語]

[15]. 「DNS Hijacking Abuses Trust In Core Internet Service(インターネットの中核技術への信頼性を悪用する DNS ハイジャック)」、Talos。https://blog.talosintelligence.com/2019/04/seaturtle.htmlpopup_icon [英語]

 

本稿は 2019年5月23日に Talos Grouppopup_icon のブログに投稿された「One year later: The VPNFilter catastrophe that wasn’tpopup_icon」の抄訳です。

コメントを書く