Google が宣戦布告:巨大なロシアン・ボットネット Glupteba を潰せ

Google disrupts massive Glupteba botnet, sues Russian operators

2021/12/07 BleepingComputer — 現在、世界中の 100万台以上の Windows PC を支配し、毎日のように数千台の感染デバイスを増やしている Grupteba ボットネットを崩壊させる対策を、Google は講じていることを発表した。Glupteba は、ブロックチェーンに対応したモジュール型のマルウェアであり、2011年以降に米国/インド/ブラジル/東南アジア諸国を含む、世界中の Windows デバイスを標的にしている。

このマルウェアの背後にいる脅威アクターたちは、主に PPI (pay-per-install) ネットワークや、TDS (traffic distribution systems) で購入したトラフィックを用いて、無料でダウンロードできるソフトウェア/動画/映画などを装い、ペイロードをターゲットのデバイスに配布している。

そして感染すると、暗号通貨の採掘/ユーザー認証情報やクッキーの窃取などを行い、また、Windows システムや IoT デバイスにプロキシを展開した後に、レジデンス・プロキシとしてダークウェブで販売することもある。

このボットネットを破壊するために、Google は取り組みの一環として、Grupteba の主要な C2 (Command and Contorl) インフラを乗っ取った。このインフラは、メインの C2 サーバーが応答しなくなった場合に、ビットコイン・ブロックチェーンのバックアップ・メカニズムを用いて回復力を高めるためのものだ。

今日、Google Threat Analysis Group の Shane Huntleyと Luca Nagy は、「今回の措置は Grupteba の運営に大きな影響を与えると考えている。しかし、Grupteba の運営者は、ビットコインのブロックチェーンにエンコードされたデータを使用する、バックアップの C2 メカニズムを用いて、ボットネットの制御を回復する可能性が高い」と述べている

ボットネットの破壊に向けた法的措置

また、Google は、2人のロシア人被告 (Dmitry Starovikov と Alexander Filippov) と 15人に対して、一時的な拘束命令と訴状を、ニューヨーク南部地区で申し立てている。この訴状によると、17人の被告は、ユーザー・アカウントやクレジットカードなどの情報を盗み、感染したデバイスへの広告掲載を行い、プロキシ・アクセスを販売し、暗号通貨のマイニングを行うことを最終目的とした、Grupteba 攻撃を操作/調整していた者であり、コンピュータ詐欺や、商標権侵害などを行っていたとしている。

Google は、「Grupteba ボットネットの運営者は、自身が提供するオンラインサービスの中で、盗んだ認証情報を搭載した仮想マシンへのアクセス権の販売 (dont[.]farm) や、プロキシ・アクセス (awmproxy)、クレジットカード番号の販売 (extracard)、Google での悪質な広告の掲載や支払い詐欺などの、悪質な活動を行っている」と言及している。

Google の VP for Security である Royal Hansen と General Counsel である Halimah DeLaine Prado は、「残念ながら、Grupteba が回復力のメカニズムとして、ブロックチェーン技術を使用している。それが注目すべき点であるが、サイバー犯罪組織の間では一般的な手法になりつつある」と、付け加えている。

彼らは、「ブロックチェーンの分散化された性質により、ボットネットは混乱から迅速に回復することが可能であり、その撲滅は困難になっている。私たちは、産業界や政府と緊密に協力して、この種の行為に対抗しているため、たとえ Grupteba が復活するにしても、インターネットの保護は強化されるだろう」と述べている。

また、月曜日に Microsoft は、中国を拠点とする ハッキング・グループ Nickel (通称:KE3CHANG/APT15/Vixen Panda/Royal APT/Playful Dragon) が、米国および世界28カ国の政府機関/外交機関/非政府組織 (NGO) のサーバーを標的として使用した、数十もの悪意のサイトを押収した。

ブロックチェーンを、回復力のメカニズムとして使用するとは驚きです。このところ、「Emotet が再生/復活:TrickBot を介してインフラを急速に拡大」や、「Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?」というふうに、Emotet の脅威が高まっていますが、この Grupteba も怖いですね。Google に頑張って欲しいです。

%d bloggers like this: