VPN／Botnet を組み合わせた脅威：きわめて危険な ORB (Operational Relay Box) とは？

Beyond VPNs and Botnets: Understanding the Danger of ORB Networks

2024/11/05 SecurityOnline — 最近の Team Cymru の S2 研究チームは、サイバーセキュリティ分野で拡大している脅威である、ORB (Operational Relay Box) ネットワークにフォーカスしている。VPN と Botnet のハイブリッドとして定義される ORB ネットワークは、攻撃の難読化における新たなレベルの洗練を示し、それを悪用する脅威アクターたちは、強化された匿名性と回復力で活動を継続している。このレポートは、「ORB ネットワークは、隠蔽／メッシュ／難読化ネットワークであり、回避手法を継続的に改良する脅威アクターたちの間で、その普及の度合いを増している」と指摘している。

基本的に ORB ネットワークは、VPS ホストと侵害済の IoT デバイスを組み合わせて、分散型のマルチノード・インフラを作成する。脅威アクターたちは、このような ORB を用いて、悪意のトラフィックをルーティングするため、その発生源まで、防御側が追跡することは困難である。 Team Cymru のレポートでは、「ORB ネットワークのボットネットの側面は、悪意のトラフィックを分散する手段を提供する。その一方で、VPN のようなアーキテクチャは、複数のノード間で匿名通信を可能にするため、攻撃者は検出を回避しながら能力を高めている」と説明されている。

このようなネットワークは、従来の検出方法を回避するため、きわめて危険なものとなる。ORB の内側で接続するメッシュ・ネットワークを作成する攻撃者は、エントリ ポイントを効果的に隠蔽し、悪意のアクティビティに対する追跡／阻止の試みを、さらに複雑なものにしている。Team Cymru は、「この “ボット” のレイヤーにより、攻撃者は匿名性を高めることが可能になる。被害者の側から見れば、ボットからの接続のみが認識されるが、攻撃者の実際のマシンは認識されない」と警告している。

ORB ネットワークのユニークな点は、その広範で分散化された構造にある。世界中に存在する VPS と IoT デバイスを悪用世することで、これらのネットワークは、特定の地域／ISP への集中を回避し、テイクダウンの影響もほとんど受けないようになっている。このレポートが強調するのは、「感染したデバイスの修復を通じて、ネットワークを混乱を抑制しようとする取り組みが、このアプローチにより著しく複雑になる」という点だ。なぜなら、これらの侵害されたノードの大半が、世界中に散在しているからである。

さらに、ORB ネットワークには、付随的な被害のリスクが存在する。そのネットワークの大半が、専用の IP アドレスを持たない侵害済の IoT デバイスで構成されているため、正当なトラフィックと、悪意のアクティビティと混在する可能性が高まる。Team Cymru が指摘するのは、「このような悪意のトラフィックのブロックにより、正当なサービスへのアクセスが不可能となり、また、正当なトラフィックの減少が生じなどの、数多くの問題が発生する可能性が生じる」という点だ。

Team Cymru の分析では、悪意の持つ ORB ネットワークが、一般的なインターネット・ アクセスの手段として使用されていることも強調されている。多くの場合において、”通常” のソーシャル・メディアやメッセージングなどのトラフィックは、脅威アクターのトラフィックと同じインフラを経由してルーティングされている。つまり、このようなノイズに隠れる戦術により、つまり、正当なトラフィックが悪意のオペレーションを隠すことで、さらなる難読化のレイヤーが追加される。

ORB ネットワークのサイバー ・キルチェーンは、偵察／兵器化／データ流出などの、各段階の機能を提供している。これらのネットワークを悪用する攻撃者は、秘密裏に偵察を行い、真の場所を明かすことなく、ターゲットを探り出していく。その後に、なんらかの脆弱性を悪用して、動的な Command and Contorl (C2) チャネルを確立し、ローテーション機能を備えた出口ノードを介してデータを盗み出すが、それらのデータの最終ディスティネーションは隠される。Team Cymru の見解は、「この分散型アプローチでは、データの最終ディスティネーションの追跡が難しくなり、インシデント対応が遅くなり、攻撃の緩和が難しくなる」というものだ。

ORB ネットワークに対する防御には、従来からの境界防御では不足であり、それ以上のものが必要となる。プロアクティブな脅威ハンティング／行動分析／ネットワーク・トラフィック分析は、潜在的な ORB ネットワークのアクティビティを特定するための、重要なツールである。Team Cymru は、ゼロトラスト・アプローチの採用が不可欠であると強調している。このモデルでは、ネットワークの場所に関係なく、デフォルトで信頼されるデバイスは存在しないと、想定されているためである。

Operational Relay Box (ORB) ネットワークとは、VPN と Botnet のハイブリッドとして定義される 脅威インフラとのことです。たしかに、IoT デバイスなどを取り込んだかたちで、ORB を構築されてしまうと、正規／悪意のインフラが渾然となってしまうため、追跡がきわめて困難になると考えられます。よろしければ、Botnet で検索も、ご参照ください。