概要
米国時間の2018年5月23日にCisco Talos(以降は、Talosと表記)からVPNFilterと呼ばれるネットワーク機器を対象としたマルウェアについての情報が公開された。 また、同日には米国司法省(含むFBI)からは同マルウェアに感染したSOHOルータやネットワークデバイス等で構成されたボットネットを崩壊した旨、そしてこれらはSofacyグループ(別名:APT28、Sandworm、X-Agent、Pawn Storm、Fancy Bear、Sednit)支配下にあった等の発表が行われた。
被害状況
Talosによると、少なくとも54カ国で500,000のデバイスがこのマルウェアに感染している模様で、SOHO環境で使われているLinksys、MikroTik、NETGEAR、TP-Linkなどのネットワーク機器の他、QNAPのNASデバイスが対象になっている。なお、Ciscoを含めた他のベンダーは対象ではないが、調査は継続中とのこと。
なお、このVPNFilterのコンポーネントの動作として上記ネットワーク機器上においてウェブサイトのクレデンシャル情報の窃取やModbus SCADAプロトコルの監視を行い、最後には感染したデバイスを使用不能にする機能を有していることから、感染したデバイスやこれらが一括で使用不能になることで、世界中の何十万ものユーザのインターネットアクセスを遮断する可能性についても言及されている。
影響を受けるデバイス
- Linksys Devices
E1200 E2500 WRVS4400N
- Mikrotik RouterOS Versions for Cloud Core Routers
1016 1036 1072
- Netgear Devices
DGN2200 R6400 R7000 R8000 WNR1000 WNR2000
- QNAP Devices
TS251 TS439 Pro
対象機器ベンダーの対応状況
LINKSYS LINKSYSでは、自社のセキュリティアドバイザリページにて古いファームウェアバージョンを使っているユーザのデバイスが既知の脆弱性を利用されて侵害されている可能性がある旨、最新のファームウェアへのアップデート、管理者パスワードの変更等について言及している。
MikroTik Mikrotikiでは、自社のフォーラムにてTalosの発表を受けてVPNFilterがMikroTikのRouterOSの脆弱性を利用して感染するが、同脆弱性については2017年3月の時点でパッチがリリースされている旨を公表している。
NETGEAR NETGEARでは、サポート情報にVPNFilterについての情報を公開しており、現在影響範囲を調査中であるが、既に修正されている脆弱性をターゲットにしている可能性がある旨の記載が行われている。なお、対策(防止策)として最新ファームウェアの適用及びリモート管理機能の無効化を案内している。
QNAP QNAPでは、自社のセキュリティアドバイザリページにてQNAPで稼働しているQTSのアップデート及びMalware Removerの実行を推奨している。
VPNFilterの動き
VPNFilterマルウェアは、情報収集と破壊活動を行う機能を有した多段構成によるモジュラー型プラットフォームである。
- 1stステージ
1stステージの主な目的は、永続的に2ndステージのマルウェア展開を可能にすることである。また、1stステージでは多重冗長のC2メカニズムを利用して、現在の2ndステージのデプロイメントサーバのIPアドレスを検出することで、マルウェアを堅牢化するとともに予期せぬC2インフラの変更にも対応できるようにしている模様である。 なお、IoTデバイスを対象としたマルウェアの多くは再起動することにより消滅するが、1stステージのマルウェアは再起動しても残存し続けるとのこと。
- 2ndステージ
2ndステージで利用されるマルウェアは、ファイル収集やコマンド実行、データ抽出、デバイス管理などの機能を有する情報収集プラットフォームと考えられている。また、2ndステージマルウェアの一部のバージョンでは、デバイスのファームウェアの重要な部分を上書きした後にデバイスを再起動するといった自己破壊機能を備えている模様。 なお、2ndステージマルウェアは再起動することで消滅するとのこと。
- 3rdステージ
3rdステージは、2ndステージマルウェアのプラグインによる活動となる。これらは、2ndステージにて追加機能のプラグインとして提供される。Talosによるブログ執筆時点では、2つのプラグインの存在を認識しており、これらはウェブサイトのクレデンシャル情報の窃取およびModbus SCADAプロトコルの監視を含む、感染デバイスを通過するトラフィックを収集するパケットスニッファと、2ndステージマルウェアがTorを介して通信ができるようにするためのモジュールで構成している。なお、他のプラグインの存在についても確信はしているものの発見には至っていないとのこと。
感染原因
Talosによるブログ執筆時点においては、攻撃者がどのようにしてデバイスを侵害したかについて明らかになっていないが、対象デバイスの多くが既に明らかになっている脆弱性を有していたとのこと。
アトリビューション関連情報
Talosによると、VPNFilterで使われているコードは、過去にウクライナ国内のデバイスが対象となったBlackEnergyマルウェアのコードと重複している点も見られるとのこと。また、Talosの観測では、ウクライナ国内のデバイスを中心にVPNFilterに感染しており、C2についてもウクライナに特化しているものが使われている旨を"決定的ではないが"という前置きの上で述べられている。
IoC
C2ドメイン、URL、IPアドレス
- 1stステージに関連
photobucket[.]com/user/nikkireed11/library photobucket[.]com/user/kmila302/library photobucket[.]com/user/lisabraun87/library photobucket[.]com/user/eva_green1/library photobucket[.]com/user/monicabelci4/library photobucket[.]com/user/katyperry45/library photobucket[.]com/user/saragray1/library photobucket[.]com/user/millerfred/library photobucket[.]com/user/jeniferaniston1/library photobucket[.]com/user/amandaseyfried1/library photobucket[.]com/user/suwe8/library photobucket[.]com/user/bob7301/library toknowall[.]com
Photobucketは、米国の画像管理・動画共有サービスのオンラインコミュニティの模様。toknowall[.]comは、FBIによりテイクダウンされた模様。
- 2ndステージに関連
91.121.109[.]209 217.12.202[.]40 94.242.222[.]68 82.118.242[.]124 46.151.209[.]33 217.79.179[.]14 91.214.203[.]144 95.211.198[.]231 195.154.180[.]60 5.149.250[.]54 91.200.13[.]76 94.185.80[.]82 62.210.180[.]229 zuh3vcyskd4gipkm[.]onion/bin32/update.php
ハッシュ値
- 1stステージマルウェア
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
- 2ndステージマルウェア
9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17 d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e 4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b 9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387 37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4 776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d 8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1 0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
- 3rdステージプラグイン
f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344 afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
- 自己署名証明書フィンガープリント
d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747 c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851 f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5 27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302 110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8 fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78 cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526 110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8 909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b 044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4 c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412 8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806 c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
関連記事
- New VPNFilter malware targets at least 500K networking devices worldwide(Talos)
- VPNFilter Destructive Malware(US-CERT)
- ネットワーク機器を標的とするマルウェア「VPNFilter」について(JPCERT/CC)
- LinuxベースのルーターやNASに感染するマルウェア「VPNFilter」、54カ国50万台に感染か、Cisco Talos報告(INTERNET Watch)
- 高度なマルウェア「VPNFilter」、54カ国で感染拡大 一斉攻撃の恐れも(ITmedia)
- 米FBI、マルウェア「VPNFilter」に感染したデバイスのネットワークを分断(ITmedia)
- FBI、マルウェア「VPNFilter」対策でルータ再起動を呼びかけ(CNET News)
- 高度なマルウェア「VPNFilter」が猛威、54カ国50万台超のルータに感染(ZDNet Japan)
- 新たなマルウェアVPNFilter、50万台以上のルーターに感染(McAfee Blog)
- Exclusive: FBI Seizes Control of Russian Botnet(DAILY BEAST)
更新履歴
- 2018/05/31 AM 新規作成
