米国 司法省 ロシア連邦軍参謀本部情報総局（GRU）が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

こんにちは、丸山満彦です。米連邦政府 司法省が、ロシア連邦軍参謀本部情報総局（GRU）が管理するボットネットを裁判所の認可に基づき破壊（無力化）したと発表していますね。。。

● Department of Justice

・2022.04.06 Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU)

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU)	司法省 ロシア連邦軍参謀本部情報総局（GRU）が管理するボットネットを裁判所の認可に基づき破壊
Operation Copied and Removed Malware Known as “Cyclops Blink” from the Botnet’s Command-And-Control Devices, Disrupting the GRU’s Control Over Thousands of Infected Devices Worldwide. Victims Must Take Additional Steps to Remediate the Vulnerability and Prevent Malicious Actors From Further Exploiting Unpatched Devices.	ボットネットのコマンド・アンド・コントロール・デバイスから「Cyclops Blink」と呼ばれるマルウェアをコピー・除去し、GRUが世界中で感染した数千台のデバイスを制御できなくする作戦。被害者は、脆弱性を修正し、悪意ある行為者がパッチ未適用のデバイスをさらに悪用することを防止するための追加措置を講じる必要があります。
The Justice Department today announced a court-authorized operation, conducted in March 2022, to disrupt a two-tiered global botnet of thousands of infected network hardware devices under the control of a threat actor known to security researchers as Sandworm, which the U.S. government has previously attributed to the Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (the GRU). The operation copied and removed malware from vulnerable internet-connected firewall devices that Sandworm used for command and control (C2) of the underlying botnet. Although the operation did not involve access to the Sandworm malware on the thousands of underlying victim devices worldwide, referred to as “bots,” the disabling of the C2 mechanism severed those bots from the Sandworm C2 devices’ control.	司法省は本日、2022年3月に実施された裁判所公認の作戦を発表し、セキュリティ研究者の間で「サンドワーム」として知られる脅威行為者の支配下にある、数千台の感染したネットワークハードウェア機器による2層構造のグローバルボットネットを破壊したことを発表しました。この脅威は、米国政府がこれまでロシア連邦軍参謀本部主要情報局（GRU）に起因するとしてきました。この作戦では、サンドワームが基盤となるボットネットのコマンド＆コントロール（C2）に使用していた脆弱なインターネット接続ファイアウォールデバイスからマルウェアをコピーして除去しています。この作戦では、「ボット」と呼ばれる世界中の被害者デバイスにあるサンドワームマルウェアにはアクセスできませんでしたが、C2メカニズムを無効にしたことで、サンドワーム C2デバイスの制御からこれらのボットを切り離すことができました。
“This court-authorized removal of malware deployed by the Russian GRU demonstrates the department’s commitment to disrupt nation-state hacking using all of the legal tools at our disposal,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “By working closely with WatchGuard and other government agencies in this country and the United Kingdom to analyze the malware and to develop detection and remediation tools, we are together showing the strength that public-private partnership brings to our country’s cybersecurity. The department remains committed to confronting and disrupting nation-state hacking, in whatever form it takes.”	司法省国家安全保障局の マシュー G. オルセン 司法次官補は、次のように述べています。「ロシア GRU が配備したマルウェアを裁判所が認可して除去したことは、あらゆる法的手段を用いて国民国家のハッキングを阻止するという司法省の取り組みを実証しています。サンドワーム の C2 メカニズムを無効にすることで、サンドワーム の C2 デバイスの制御からボットを切り離しました。ウォッチガードをはじめ、米国や英国の政府機関と緊密に協力し、マルウェアの解析や検知・修復ツールの開発を行うことで、官民パートナーシップが我が国のサイバーセキュリティにもたらす強みを示すことができました。同省は、どのような形であれ、国民国家のハッキングに立ち向かい、それを阻止することに引き続き尽力していきます。」
“Through close collaboration with WatchGuard and our law enforcement partners, we identified, disrupted and exposed yet another example of the Russian GRU’s hacking of innocent victims in the United States and around the world,” said U.S. Attorney Cindy K. Chung for the Western District of Pennsylvania. “Such activities are not only criminal but also threaten the national security of the United States and its allies. My office remains committed to working with our partners in the National Security Division, the FBI, foreign law enforcement agencies and the private sector to defend and maintain our nation’s cybersecurity.”	ペンシルバニア州西部地区の シンディー K チャン 連邦検事は、次のように述べています。「ウォッチガードと法執行機関のパートナーとの密接な協力を通じて、我々は米国および世界中の罪のない犠牲者に対するロシア GRU のハッキングの新たな例を特定し、破壊し、暴露しました。このような活動は犯罪であるばかりでなく、米国とその同盟国の国家安全保障を脅かすものです。私の部門は、国家安全保障部門、FBI、外国の法執行機関、民間部門のパートナーと協力して、わが国のサイバーセキュリティを守り維持することに引き続き尽力します。」
“This operation is an example of the FBI’s commitment to combatting cyber threats through  our unique authorities, capabilities, and coordination with our partners,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “As the lead domestic law enforcement and intelligence agency, we will continue pursuing cyber actors that threaten the national security and public safety of the American people, our private sector partners and our international partners.”	FBIサイバー課のブライアン・ヴォルドラン課長補佐は、次のように述べました。「この作戦は、FBI独自の権限、能力、パートナーとの連携を通じて、サイバー脅威と戦うというFBIの決意を示す一例です。国内法執行および情報機関のリーダーとして、我々は米国民、民間セクターのパートナー、および国際的なパートナーの国家安全保障と公共の安全を脅かすサイバー行為者を引き続き追及していく」と述べています。
“The FBI prides itself on working closely with our law enforcement and private sector partners to expose criminals who hide behind their computer and launch attacks that threaten Americans’ safety, security and confidence in our digitally connected world,” said Special Agent in Charge Mike Nordwall of the FBI’s Pittsburgh Field Office. “The FBI has an unwavering commitment to combat and disrupt Russia’s efforts to gain a foothold inside U.S. and allied networks.”	FBIピッツバーグ支局のマイク・ノードウォール特別捜査官は、次のように述べました。「FBIは、法執行機関や民間部門のパートナーと緊密に協力し、コンピュータの背後に隠れて、デジタルでつながった世界におけるアメリカ人の安全、安心、信頼を脅かす攻撃を行う犯罪者を暴くことを誇りにしています。FBIは、米国および同盟国のネットワーク内に足場を築こうとするロシアの取り組みに対抗し、これを阻止するために、揺るぎないコミットメントを有しています。」
On Feb. 23, the United Kingdom’s National Cyber Security Centre, the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency, the FBI and the National Security Agency released an advisory identifying the Cyclops Blink malware, which targets network devices manufactured by WatchGuard Technologies Inc. (WatchGuard) and ASUSTek Computer Inc. (ASUS). These network devices are often located on the perimeter of a victim’s computer network, thereby providing Sandworm with the potential ability to conduct malicious activities against all computers within those networks. As explained in the advisory, the malware appeared to have emerged as early as June 2019, and was the apparent successor to another Sandworm botnet called VPNFilter, which the Department of Justice disrupted through a court-authorized operation in 2018.	2月23日、英国のNational Cyber Security Centre、国土安全保障省のCybersecurity and Infrastructure Security Agency、FBI、国家安全保障局は、ウォッチガード・テクノロジー社およびエイスーステック・コンピューター (ASUS)社製のネットワーク機器を標的としているマルウェア「Cyclops Blink」についてのアドバイザリーを発表しました。これらのネットワーク機器は、被害者のコンピュータ・ネットワークの境界に配置されていることが多く、それによって、サンドワームは、これらのネットワーク内のすべてのコンピュータに対して悪意のある活動を行うことができる潜在的な能力を備えています。アドバイザリーで説明されているように、このマルウェアは早ければ2019年6月に出現したようで、2018年に司法省が裁判所公認の作戦によって破壊したVPNFilterという別のサンドワームボットネットの後継であることが明らかになりました。
The same day as the advisory, WatchGuard released detection and remediation tools for users of WatchGuard devices. The advisory and WatchGuard’s guidance both recommended that device owners deploy WatchGuard’s tools to remove any malware infection and patch their devices to the latest versions of available firmware. Later, ASUS released its own guidance to help compromised ASUS device owners mitigate the threat posed by Cyclops Blink malware. The public and private sector efforts were effective, resulting in the successful remediation of thousands of compromised devices. However, by mid-March, a majority of the originally compromised devices remained infected.	ウォッチガードは勧告と同じ日に、ウォッチガードのデバイスのユーザー向けに検出および修復ツールをリリースしました。勧告とウォッチガードのガイダンスはいずれも、デバイスの所有者がウォッチガードのツールを導入してマルウェア感染を除去し、利用可能なファームウェアの最新バージョンにデバイスをパッチするよう推奨しています。その後、ASUS も独自のガイダンスを発表し、感染した ASUS デバイスの所有者が Cyclops Blink マルウェアによる脅威を軽減できるよう支援しました。このような官民の取り組みが功を奏し、感染した数千台のデバイスの修復に成功しました。しかし、3月中旬までには、感染したデバイスの大半が感染したままになっていました。
Following the initial court authorization on March 18, the department’s operation was successful in copying and removing the malware from all remaining identified C2 devices. It also closed the external management ports that Sandworm was using to access those C2 devices, as recommended in WatchGuard’s remediation guidance (a non-persistent change that the owner of an affected device can reverse through a device restart). These steps had the immediate effect of preventing Sandworm from accessing these C2 devices, thereby disrupting Sandworm’s control of the infected bot devices controlled by the remediated C2 devices. However, WatchGuard and ASUS devices that acted as bots may remain vulnerable to Sandworm if device owners do not take the WatchGuard and ASUS recommended detection and remediation steps. The department strongly encourages network defenders and device owners to review the Feb. 23 advisory and WatchGuard and ASUS releases.	3月18日の最初の裁判所認可後、同局の作戦は、残りの特定されたC2デバイスすべてからマルウェアをコピーし、除去することに成功しました。また、ウォッチガードの修復ガイダンスで推奨されているように、サンドワームがこれらのC2デバイスへのアクセスに使用していた外部管理ポートを閉鎖しました（影響を受けたデバイスの所有者がデバイスの再起動によって元に戻すことができる非持続的な変更）。これらの措置は、サンドワームがこれらのC2デバイスにアクセスするのを防ぐという直接的な効果をもたらし、それによってサンドワームが、改善されたC2デバイスによって制御される感染したボットデバイスを制御できなくすることができたのです。しかしながら、ボットとして機能した ウォッチガード および ASUS デバイスは、デバイスの所有者が ウォッチガード および ASUS が推奨する検出および修復の手順を踏まなければ、サンドワーム に対して脆弱なままである可能性があります。同局は、ネットワーク防御者とデバイス所有者に対し、2月23日の勧告とウォッチガードおよびASUSのリリースを確認するよう強く推奨しています。
The operation announced today leveraged direct communications with the Sandworm malware on the identified C2 devices and, other than collecting the underlying C2 devices’ serial numbers through an automated script and copying the C2 malware, it did not search for or collect other information from the relevant victim networks. Further, the operation did not involve any FBI communications with bot devices.	本日発表された作戦は、特定されたC2デバイス上のサンドワームマルウェアとの直接通信を活用し、自動スクリプトによって基盤となるC2デバイスのシリアル番号を収集し、C2マルウェアをコピーした以外は、関連する被害者ネットワークから他の情報を検索・収集することはありませんでした。さらに、この作戦では、FBIがボットデバイスと通信することはありませんでした。
Since prior to the Feb. 23 advisory, the FBI has been attempting to provide notice to owners of infected WatchGuard devices in the United States and, through foreign law enforcement partners, abroad. For those domestic victims whose contact information was not publicly available, the FBI has contacted providers (such as a victim’s internet service provider) and has asked those providers to provide notice to the victims.  As required by the terms of the court authorization, the FBI has provided notice to the owners of the domestic C2 devices from which the FBI copied and removed the Cyclops Blink malware.	2 月 23 日の勧告以前から、FBI は米国内および海外の法執行機関を通じて、感染した ウォッチガード 機器の所有者に通知を行うよう試みています。連絡先が公開されていない国内の被害者については、FBI がプロバイダー（被害者のインターネット・サービス・プロバイダーなど）と連絡を取り、プロバイダーに被害者への通知を行うよう要請しています。  裁判所の許可条件により要求されたとおり、FBI は、FBI が Cyclops Blink マルウェアをコピーして削除した国内 C2 デバイスの所有者に通知を行いました。
The efforts to disrupt the Cyclops Blink botnet were led by the FBI’s Pittsburgh, Atlanta and Oklahoma City Field Offices, the FBI Cyber Division, the National Security Division’s Counterintelligence and Export Control Section, and the U.S. Attorney’s Office for the Western District of Pennsylvania. Assistance was also provided by the Criminal Division’s Computer Crime and Intellectual Property Section and Office of International Affairs, as well as the U.S. Attorney’s Office for the Eastern District of California.	Cyclops Blink ボットネットを破壊するための活動は、FBI のピッツバーグ、アトランタ、オクラホマシティの各フィールドオフィス、FBI サイバー部門、国家安全保障部門の防諜・輸出管理セクション、ペンシルバニア州西部地区連邦検事局によって主導されています。また、刑事部コンピュータ犯罪・知的財産課および国際課、カリフォルニア州東部地区連邦検事局も協力しています。
If you believe you have a compromised device, please contact your local FBI Field Office for assistance. The FBI continues to conduct a thorough and methodical investigation into this cyber incident.	侵入されたデバイスをお持ちの方は、最寄りのFBI支局にご連絡ください。FBIは、このサイバーインシデントについて、引き続き徹底的かつ体系的な調査を実施します。

 

・[PDF] Download EDCA Search Warrant Package

・[PDF] Download WDPA Search Warrant Package

 

GRU関係以外のものも含めて。。。

・2022.04.06 ATTORNEY GENERAL MERRICK B. GARLAND ANNOUNCES ENFORCEMENT ACTIONS TO DISRUPT AND PROSECUTE RUSSIAN CRIMINAL ACTIVITY

 

---

 

■ 参考

 U.K. NCSC - Malware Analysis Report

・2022.02.23 [PDF] Cyclops Blink

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2021.07.02 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官（国家安全保障担当）との電話会談

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定（CFSP）2019/797の修正（ロシアの件。。。）

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

 

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。