innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

FBI対応後も活動再構築、KV-botnet運営者が戦術変更

FBI対応後も活動再構築、KV-botnet運営者が戦術変更 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-03 08:07 by admin

米国連邦捜査局(FBI)による取り締まりの後、KV-botnetの運営者は活動を再構築しようと戦術を変更しました。KV-botnetは、世界中の小規模オフィスや自宅用のルーターおよびファイアウォールデバイスから構成されるネットワークで、特定のクラスターが他の中国の国家支援ハッカーグループのための秘密のデータ転送システムとして機能していました。このボットネットは、2022年2月以降に活動しているとされ、2023年12月中旬にLumen TechnologiesのBlack Lotus Labsチームによって初めて文書化されました。

米国政府は先月、KVクラスターを対象とした裁判所認可の妨害作戦を発表しました。これにより、JDYサブグループを介して広範囲にスキャンした後に選ばれたハイプロファイルなターゲットに対する手動操作が行われます。公開とFBIの取り組みの副産物として、JDYクラスターは約15日間沈黙しました。2023年12月中旬には約1500のアクティブボットが観測されましたが、2024年1月中旬には約650に減少しました。

FBIは2023年12月6日に発行された令状をもって、米国内のルーターに対してボットネットのペイロードを消去し、再感染を防ぐためのコマンドを送信し始めたと考えられます。KV-botnetの運営者は、2023年12月8日に8時間連続の活動を開始し、翌日の12月9日には約10時間、12月11日には1時間の操作を行いました。この期間中、NETGEAR ProSAFE、Cisco RV 320/325、Axis IPカメラ、DrayTek Vigorルーターなど、3,045のユニークなIPアドレスとのやり取りが確認されました。

また、2023年12月初旬には、インフラストラクチャがオフラインになるのを検出した際に、デバイスを再度悪用しようとする敵の試みが大幅に増加しました。Lumenは、同時期に稼働を開始したバックアップサーバーのセットをヌルルートする措置も講じました。KV-botnetの運営者は、自身で偵察とターゲティングを行うとともに、Volt Typhoonなど複数のグループを支援していることが知られています。

米国司法省の声明では、このボットネットが「中華人民共和国(PRC)の国家支援ハッカーによって制御されている」と述べられています。これにより、KV-botnetがVolt Typhoonハッカーを支援する組織によって作成された可能性が示唆されています。

セキュリティ専門家は、世界中で使用されているすべてのネットワーク機器の大部分が正常に機能しているものの、サポートが終了していることを指摘しています。高度な脅威アクターは、これが悪用のための肥沃な地盤であることをよく知っています。サポートが終了したデバイスの交換が最善の選択ですが、常に実行可能なわけではありません。対策には、エッジデバイスをパッチや更新が可能な限り頻繁に行う、デバイスの再起動、EDRやSASEソリューションの設定、ネットワークからの大量データ転送の監視などが含まれます。Geofencingは、脅威アクターが近くのポイントからホップできる場合に頼るべき防御策ではありません。

【ニュース解説】

米国連邦捜査局(FBI)による取り締まりの後、KV-botnetの運営者は、活動の再構築を図るために戦術を変更しました。KV-botnetは、世界中の小規模オフィスや自宅用のルーターやファイアウォールデバイスから構成されるネットワークであり、特定のクラスターが中国の国家支援ハッカーグループのための秘密のデータ転送システムとして機能していました。

このボットネットは、2022年2月以降に活動しており、2023年12月中旬にLumen TechnologiesのBlack Lotus Labsチームによって初めて文書化されました。米国政府は、KVクラスターを対象とした裁判所認可の妨害作戦を発表し、これにより、JDYサブグループを介して広範囲にスキャンした後に選ばれたハイプロファイルなターゲットに対する手動操作が行われました。

公開とFBIの取り組みの副産物として、JDYクラスターは約15日間沈黙しました。2023年12月中旬には約1500のアクティブボットが観測されましたが、2024年1月中旬には約650に減少しました。FBIは2023年12月6日に発行された令状をもって、米国内のルーターに対してボットネットのペイロードを消去し、再感染を防ぐためのコマンドを送信し始めたと考えられます。

KV-botnetの運営者は、2023年12月8日に8時間連続の活動を開始し、翌日の12月9日には約10時間、12月11日には1時間の操作を行いました。この期間中、NETGEAR ProSAFE、Cisco RV 320/325、Axis IPカメラ、DrayTek Vigorルーターなど、3,045のユニークなIPアドレスとのやり取りが確認されました。

米国司法省の声明では、このボットネットが「中華人民共和国(PRC)の国家支援ハッカーによって制御されている」と述べられています。これにより、KV-botnetがVolt Typhoonハッカーを支援する組織によって作成された可能性が示唆されています。

セキュリティ専門家は、世界中で使用されているすべてのネットワーク機器の大部分が正常に機能しているものの、サポートが終了していることを指摘しています。高度な脅威アクターは、これが悪用のための肥沃な地盤であることをよく知っています。サポートが終了したデバイスの交換が最善の選択ですが、常に実行可能なわけではありません。

この事件は、国家支援を受けたサイバー攻撃の複雑さと、それに対抗するための国際的な協力の重要性を浮き彫りにしています。また、古いデバイスやソフトウェアを使用し続けるリスクと、セキュリティ対策の継続的な更新の必要性を示しています。サイバーセキュリティは、単に技術的な問題ではなく、組織や個人が直面する継続的な挑戦であり、適切な対策を講じることが重要です。

from After FBI Takedown, KV-Botnet Operators Shift Tactics in Attempt to Bounce Back.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » FBI対応後も活動再構築、KV-botnet運営者が戦術変更

“FBI対応後も活動再構築、KV-botnet運営者が戦術変更” への1件のコメント

  1. 鈴木 一郎のアバター
    鈴木 一郎

    このニュースは、サイバーセキュリティの脅威がどれほど深刻で複雑なものであるかを示していますね。特に、中華人民共和国の国家支援を受けたハッカーグループが関与しているという点は、国際的な緊張感を高める要因にもなり得ます。私たち一般市民にとっては、このような技術的な攻撃や防御の詳細は難解に感じられるかもしれませんが、日常生活においてもセキュリティ意識を高める必要性を痛感します。

    特に印象に残ったのは、セキュリティ専門家が指摘しているように、世界中で使用されているネットワーク機器の多くがサポート終了となっている点です。これは、私たちが使用している家庭用のルーターやファイアウォールデバイスにも当てはまるかもしれませんね。サポートが終了したデバイスは、新たな脅威から守るための更新が受けられないため、攻撃者にとって格好の標的となります。

    このような状況では、セキュリティ対策の継続的な更新が非常に重要です。個人レベルでできる対策としては、定期的なデバイスの更新やパッチの適用、不要なデータの転送を避けるためのネットワークの監視など

Latest News