TP-LINK製ルータなど数十万台のデバイスの侵害発見、サイバー攻撃の兆候か

画像提供：マイナビニュース

Lumen Technologiesは9月18日(米国時間)、「Derailing the Raptor Train - Lumen」において、中国の国家支援を受けているとみられる脅威グループ「Flax Typhoon」が4年以上かけて構築した多層ボットネット「Raptor Train」を発見したと報じた。ボットネットの分析、キャンペーンの詳細など脅威グループの活動レポートは「(PDF) Derailing the Raptor Train Black Lotus Labs - LUMEN」から閲覧できる。

○多層ボットネット「Raptor Train」の概要

レポートによると、発見された多層ボットネット「Raptor Train」は複雑な多層ネットワークで構成されているという。具体的には、上流の管理ノード(Tier3)、中間のコマンド＆コントロール(C2: Command and Control)サーバ(Tier2)、下流の末端デバイス(Tier1)の3層構造とされる。

Tier3およびTier2は主に仮想専用サーバ(VPS: Virtual Private Server)で構成され、その平均寿命は約77日間。Tier3は香港または中国本土に設置され、Tier2は世界中に分散している。Tier1はボットネット「Mirai」の亜種とされる「Nosedive」に感染したIoT(Internet of Things)デバイスおよびSOHO(Small Office/Home Office)デバイスで構成され、平均寿命は約17日間だという。

Tier1のボットネット「Nosedive」およびそのドロッパーはメモリに直接展開して実行されるため、ファイルはデバイス内に存在しない。主な機能はファイルのアップロード、ダウンロード、DDoS（Distributed Denial of Service attack：分散型サービス拒否攻撃）とされる。
○侵害されたデバイス

Tier1として構成される侵害されたデバイスはモデム、ルータ、IPカメラ、NVR/DVR、NAS(Network Attached Storage)などで、少なくとも次の製品の侵害が確認されている。

モデム、ルータ ：ActionTec PK5000、ASUS RT-*/GT-*/ZenWifiシリーズ、TP-LINK 、DrayTek Vigor、Tenda Wireless、Ruijie、Zyxel USGシリーズ、Ruckus Wireless、VNPT iGate、Mikrotik、TOTOLINK
IPカメラ：D-LINK DCSシリーズ、Hikvision、Mobotix、NUUO、AXIS、Panasonic
NVR/DVR：Shenzhen TVT NVRs/DVRs
NAS：QNAP TSシリーズ、Fujitsu、Synology、Zyxel