TP-LINK製ルータなど数十万台のデバイスの侵害発見、サイバー攻撃の兆候か

主な感染経路はゼロデイの脆弱性およびNデイの脆弱性とされる。感染に永続性はないが、常時数万ものデバイスがTier2に接続している。
○影響と対策

脅威グループが4年以上かけて構築したボットネットは累計で世界中の数十万台のデバイスに感染したと推測されている。主な標的は米国と台湾の軍事、政府、高等教育、通信、防衛産業基盤、IT関連の組織とされる。これまでのところ積極的な攻撃は確認されていないが、将来のDDoS攻撃に向けてインフラを維持しているものとみられている。

Lumen Technologiesは予想される攻撃を防止するために、IoTデバイスやSOHOデバイスの管理者に対して次の対策の実施を推奨している。

定期的にデバイスを再起動する。この対策により永続性のないメモリ常駐型マルウェアをデバイスから削除できる
ソフトウェア(ファームウェア)を常に最新の状態に維持する
エンドポイント検出応答(EDR: Endpoint Detection and Response)を導入する
サポート終了(EOL: End-of-Life)製品および終了間近の製品の利用は控える

サポート終了製品を継続して利用する必要がある場合は、脆弱性の有無を定期的に確認する必要がある。脆弱性が発見された場合は、速やかに利用を中止して新しい製品に交換することが推奨される。

最後にLumen Technologiesは調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Raptor_Train_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
（後藤大地）