中国で発見された Pink ボットネット:160 万台のデバイスに感染していた

Researchers Uncover ‘Pink’ Botnet Malware That Infected Over 1.6 Million Devices

2021/11/01 TheHackerNews — サイバー・セキュリティ研究者たちが、過去6年間で悪用が観測された、最大のボットネットについて詳細を公開した。主に中国にある 160万台以上のデバイスに感染し、分散型サービス拒否 (DDoS) 攻撃や、無防備なユーザーが訪れる Web サイトへの悪意の広告挿入などに用いられてきた。

Qihoo 360 の Netlab セキュリティ・チームは、2019年11月21日に入手したサンプルをもとに、”pink ” で始まる関数名が多いことから、このボットネットを Pink と名付けた。

このボットネットは、主に MIPS ベースのファイバー・ルーターを標的とし、感染させたデバイスを維持するために伝送路を暗号化するのはもちろんのこと、GitHub などのサードパーティ・サービス、P-to-P ネットワーク、Command and Control サーバーを組み合わせて活用してきた。

研究者たちは、「Pink は、感染したデバイスの制御を維持するためにベンダーと競い合い、ベンダーが問題の解決を何度も試みても、その動きにボット・マスターはリアルタイムに気づき、ファイバー・ルーターのファームウェアを何度も更新した」と述べている。

興味深いことに、Pink は DNS-Over-HTTPS (DoH) を採用している。これは、HTTPS プロトコルを介してリモート DNS を解決するためのプロトコルであり、GitHub や Baidu Tieba を介して配信される、設定ファイルで指定されたコントローラへの接続や、一部のサンプルにハードコーディングされた、ビルトイン・ドメイン名を介した接続などが確認されている。

北京のサイバー・セキュリティ企業である NSFOCUS が発表したレポートによると、この超大規模ボット・ネットワークを構成する、ゾンビ・ノードの 96% 以上が中国国内に存在しており、ネットワーク・ゲートウェイ機器のゼロデイ脆弱性を利用して侵入した脅威アクターたちがし、悪意のプログラムをインストールしていた。

2020年7月の時点で、感染したデバイスの大部分は修復され、以前の状態に戻っているが、このボットネットは約10万のノードで構成され、依然として活発に活動していると言われている。このボットネットを利用した DDoS 攻撃は、これまでに約100件発生しており、今回の調査結果は、悪意のある者に様々な侵入を提供する、強力なインフラであることが改めて示された。

NSFOCUS の研究者たちは、「IoT デバイスは、ブラック・プロダクション組織や、APT (Advanced Persistent Threats) 組織にとって、重要な目標となっている。Pink は、これまでに発見された中で最大のボットネットだが、これが最後のボットネットになることは無いだろう」と述べている。

ボットネットに関しては、6月に「DirtyMoe ボトネットは 2021年前半だけで 10万台以上の Windows に感染している」という記事をポストしていますが、それと比較すると、160万台の規模感が見えてきます。ただ、この記事を読む限り、160万台がゾンビ・ノードとして残っているのか、それとも、大半が除去されて 10万台レベルに下がったのか、よく分かりません。botnet で検索すると、いろいろと出てきますので、ご利用ください。

%d bloggers like this: