米国連邦捜査局(FBI)による取り締まりの後、KV-botnetの運営者は活動を再構築しようと戦術を変更しました。KV-botnetは、世界中の小規模オフィスや自宅用のルーターおよびファイアウォールデバイスから構成されるネットワークで、特定のクラスターが他の中国の国家支援ハッカーグループのための秘密のデータ転送システムとして機能していました。このボットネットは、2022年2月以降に活動しているとされ、2023年12月中旬にLumen TechnologiesのBlack Lotus Labsチームによって初めて文書化されました。
米国政府は先月、KVクラスターを対象とした裁判所認可の妨害作戦を発表しました。これにより、JDYサブグループを介して広範囲にスキャンした後に選ばれたハイプロファイルなターゲットに対する手動操作が行われます。公開とFBIの取り組みの副産物として、JDYクラスターは約15日間沈黙しました。2023年12月中旬には約1500のアクティブボットが観測されましたが、2024年1月中旬には約650に減少しました。
FBIは2023年12月6日に発行された令状をもって、米国内のルーターに対してボットネットのペイロードを消去し、再感染を防ぐためのコマンドを送信し始めたと考えられます。KV-botnetの運営者は、2023年12月8日に8時間連続の活動を開始し、翌日の12月9日には約10時間、12月11日には1時間の操作を行いました。この期間中、NETGEAR ProSAFE、Cisco RV 320/325、Axis IPカメラ、DrayTek Vigorルーターなど、3,045のユニークなIPアドレスとのやり取りが確認されました。
また、2023年12月初旬には、インフラストラクチャがオフラインになるのを検出した際に、デバイスを再度悪用しようとする敵の試みが大幅に増加しました。Lumenは、同時期に稼働を開始したバックアップサーバーのセットをヌルルートする措置も講じました。KV-botnetの運営者は、自身で偵察とターゲティングを行うとともに、Volt Typhoonなど複数のグループを支援していることが知られています。
米国司法省の声明では、このボットネットが「中華人民共和国(PRC)の国家支援ハッカーによって制御されている」と述べられています。これにより、KV-botnetがVolt Typhoonハッカーを支援する組織によって作成された可能性が示唆されています。
セキュリティ専門家は、世界中で使用されているすべてのネットワーク機器の大部分が正常に機能しているものの、サポートが終了していることを指摘しています。高度な脅威アクターは、これが悪用のための肥沃な地盤であることをよく知っています。サポートが終了したデバイスの交換が最善の選択ですが、常に実行可能なわけではありません。対策には、エッジデバイスをパッチや更新が可能な限り頻繁に行う、デバイスの再起動、EDRやSASEソリューションの設定、ネットワークからの大量データ転送の監視などが含まれます。Geofencingは、脅威アクターが近くのポイントからホップできる場合に頼るべき防御策ではありません。
【ニュース解説】
米国連邦捜査局(FBI)による取り締まりの後、KV-botnetの運営者は、活動の再構築を図るために戦術を変更しました。KV-botnetは、世界中の小規模オフィスや自宅用のルーターやファイアウォールデバイスから構成されるネットワークであり、特定のクラスターが中国の国家支援ハッカーグループのための秘密のデータ転送システムとして機能していました。
このボットネットは、2022年2月以降に活動しており、2023年12月中旬にLumen TechnologiesのBlack Lotus Labsチームによって初めて文書化されました。米国政府は、KVクラスターを対象とした裁判所認可の妨害作戦を発表し、これにより、JDYサブグループを介して広範囲にスキャンした後に選ばれたハイプロファイルなターゲットに対する手動操作が行われました。
公開とFBIの取り組みの副産物として、JDYクラスターは約15日間沈黙しました。2023年12月中旬には約1500のアクティブボットが観測されましたが、2024年1月中旬には約650に減少しました。FBIは2023年12月6日に発行された令状をもって、米国内のルーターに対してボットネットのペイロードを消去し、再感染を防ぐためのコマンドを送信し始めたと考えられます。
KV-botnetの運営者は、2023年12月8日に8時間連続の活動を開始し、翌日の12月9日には約10時間、12月11日には1時間の操作を行いました。この期間中、NETGEAR ProSAFE、Cisco RV 320/325、Axis IPカメラ、DrayTek Vigorルーターなど、3,045のユニークなIPアドレスとのやり取りが確認されました。
米国司法省の声明では、このボットネットが「中華人民共和国(PRC)の国家支援ハッカーによって制御されている」と述べられています。これにより、KV-botnetがVolt Typhoonハッカーを支援する組織によって作成された可能性が示唆されています。
セキュリティ専門家は、世界中で使用されているすべてのネットワーク機器の大部分が正常に機能しているものの、サポートが終了していることを指摘しています。高度な脅威アクターは、これが悪用のための肥沃な地盤であることをよく知っています。サポートが終了したデバイスの交換が最善の選択ですが、常に実行可能なわけではありません。
この事件は、国家支援を受けたサイバー攻撃の複雑さと、それに対抗するための国際的な協力の重要性を浮き彫りにしています。また、古いデバイスやソフトウェアを使用し続けるリスクと、セキュリティ対策の継続的な更新の必要性を示しています。サイバーセキュリティは、単に技術的な問題ではなく、組織や個人が直面する継続的な挑戦であり、適切な対策を講じることが重要です。
from After FBI Takedown, KV-Botnet Operators Shift Tactics in Attempt to Bounce Back.
