« 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17) | Main | International Cybersecurity Challenge 2022 の優勝はヨーロッパチーム、2位はアジアチーム »

2022.06.21

米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

こんにちは、丸山満彦です。

FBIがドイツ、オランダ、英国の法執行機関や脅威インテリジェンスの民間企業 (Black Echo, LLC) と協力してロシアのボットネットを破壊したようですね。。。

官民連携による、安全なコミュニティを維持するというのは、フィジカル空間でもサイバー空間でも同じですね。。。

Department of Justice (Southern District of California)

・2022.06.16 Russian Botnet Disrupted in International Cyber Operation

 

Russian Botnet Disrupted in International Cyber Operation 国際的なサイバー作戦によるロシアのボットネットの破壊
SAN DIEGO – The U.S. Department of Justice, together with law enforcement partners in Germany, the Netherlands and the United Kingdom, have dismantled the infrastructure of a Russian botnet known as RSOCKS which hacked millions of computers and other electronic devices around the world. サンディエゴ - 米国司法省は、ドイツ、オランダ、英国の法執行機関のパートナーとともに、世界中の数百万台のコンピュータやその他の電子機器をハッキングしたRSOCKSとして知られるロシアのボットネットのインフラストラクチャを解体しました。
A botnet is a group of hacked internet-connected devices that are controlled as a group without the owner’s knowledge and typically used for malicious purposes. Every device that is connected to the internet is assigned an Internet Protocol (IP) address. ボットネットとは、ハッキングされたインターネット接続機器の集団で、所有者が知らないうちに集団として制御され、通常、悪意のある目的に使用されるものです。インターネットに接続されているすべての機器には、インターネットプロトコル(IP)アドレスが割り当てられています。
According to a search warrant affidavit, unsealed today in the Southern District of California, and the operators’ own claims, the RSOCKS botnet, operated by Russian cybercriminals, comprised millions of hacked devices worldwide. The RSOCKS botnet initially targeted Internet of Things (IoT) devices. IoT devices include a broad range of devices—including industrial control systems, time clocks, routers, audio/video streaming devices, and smart garage door openers, which are connected to, and can communicate over, the internet, and therefore, are assigned IP addresses. The RSOCKS botnet expanded into compromising additional types of devices, including Android devices and conventional computers. カリフォルニア州南部地区で本日公開された捜査令状宣誓供述書と運営者自身の主張によると、ロシアのサイバー犯罪者が運営するRSOCKSボットネットは、世界中で数百万台のハッキングされたデバイスで構成されています。RSOCKSボットネットは当初、Internet of Things(IoT)デバイスを標的としていました。IoTデバイスには、産業用制御システム、タイムクロック、ルーター、オーディオ/ビデオストリーミングデバイス、スマートガレージドアオープナーなど、インターネットに接続され、インターネット上で通信できる、したがってIPアドレスが割り当てられたさまざまなデバイスが含まれます。RSOCKSボットネットは、Android端末や従来型のコンピュータなど、さらに多くの種類のデバイスに感染するよう拡大しました。
“The RSOCKS botnet compromised millions of devices throughout the world,” said U.S. Attorney Randy Grossman. “Cyber criminals will not escape justice regardless of where they operate. Working with public and private partners around the globe, we will relentlessly pursue them while using all the tools at our disposal to disrupt their threats and prosecute those responsible.”  Grossman thanked the prosecution team, the FBI and the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section for their excellent work on this case. 米国連邦検事のRandy Grossman氏は、次のように述べました。「RSOCKSボットネットは、世界中で数百万台のデバイスを危険にさらしています。サイバー犯罪者は、どこで活動しようとも、裁きを免れることはできません。世界中の公共および民間のパートナーと協力し、私たちは、彼らの脅威を破壊し、責任者を起訴するために、自由に使えるすべてのツールを使用しながら、彼らを容赦なく追及していきます。」  グロスマンは、検察チーム、FBI、司法省刑事局コンピューター犯罪・知的財産課のこの件に関する素晴らしい働きに対して感謝の意を表しました。
“This operation disrupted a highly sophisticated Russia-based cybercrime organization that conducted cyber intrusions in the United States and abroad,” said FBI Special Agent in Charge Stacey Moy. “Our fight against cybercriminal platforms is a critical component in ensuring cybersecurity and safety in the United States. The actions we are announcing today are a testament to the FBI’s ongoing commitment to pursuing foreign threat actors in collaboration with our international and private sector partners.” FBIのステイシー・モイ特別捜査官は次のように述べました。「この作戦は、米国内外でサイバー侵入を行った高度に洗練されたロシアを拠点とするサイバー犯罪組織を崩壊させました。サイバー犯罪のプラットフォームに対する我々の戦いは、米国のサイバーセキュリティと安全を確保するための重要な要素です。本日発表する措置は、海外や民間セクターのパートナーとの協力のもと、海外の脅威要因を追求するFBIの継続的な取り組みを証明するものです。」
A legitimate proxy service provides IP addresses to its clients for a fee. Typically, the proxy service provides access to IP addresses that it leases from internet service providers (ISPs). Rather than offer proxies that RSOCKS had leased, the RSOCKS botnet offered its clients access to IP addresses assigned to devices that had been hacked. The owners of these devices did not give the RSOCKS operator(s) authority to access their devices in order to use their IP addresses and route internet traffic. A cybercriminal who wanted to utilize the RSOCKS platform could use a web browser to navigate to a web-based “storefront” (i.e., a public web site that allows users to purchase access to the botnet), which allowed the customer to pay to rent access to a pool of proxies for a specified daily, weekly, or monthly time period. The cost for access to a pool of RSOCKS proxies ranged from $30 per day for access to 2,000 proxies to $200 per day for access to 90,000 proxies. 正規のプロキシ・サービスは、クライアントに対してIPアドレスを有料で提供します。通常、プロキシ・サービスは、インターネット・サービス・プロバイダー(ISP)から借用したIPアドレスへのアクセスを提供します。RSOCKSボットネットは、RSOCKSがリースしていたプロキシを提供するのではなく、ハッキングされたデバイスに割り当てられたIPアドレスへのアクセスをクライアントに提供していたのです。これらのデバイスの所有者は、IPアドレスを使用してインターネットトラフィックをルーティングするために、RSOCKSオペレータにデバイスにアクセスする権限を与えていませんでした。RSOCKS プラットフォームを利用しようとするサイバー犯罪者は、ウェブブラウザを使用してウェブベースの「ストアフロント」(ユーザーがボットネットへのアクセスを購入できる公開ウェブサイト)に移動し、顧客が指定した日、週、月の期間、プロキシのプールへのアクセスをレンタルするために支払うことができるようにします。RSOCKS プロキシのプールへのアクセス料は、2,000 個のプロキシへのアクセスが 1 日当たり 30 ドル、90,000 個のプロキシへのアクセスが 1 日当たり 200 ドルとなっています。
Once purchased, the customer could download a list of IP addresses and ports associated with one or more of the botnet’s backend servers. The customer could then route malicious internet traffic through the compromised victim devices to mask or hide the true source of the traffic. It is believed that the users of this type of proxy service were conducting large scale attacks against authentication services, also known as credential stuffing, and anonymizing themselves when accessing compromised social media accounts, or sending malicious email, such as phishing messages. 購入後、顧客はボットネットのバックエンドサーバーに関連するIPアドレスとポートのリストをダウンロードすることができます。そして、悪意のあるインターネットトラフィックを、侵害された犠牲者のデバイスを介してルーティングし、トラフィックの真のソースをマスクしたり隠したりすることができるようになります。この種のプロキシサービスのユーザーは、認証サービスに対する大規模な攻撃(クレデンシャル・スタッフィングとも呼ばれる)を行い、侵害されたソーシャルメディアアカウントにアクセスする際や、フィッシングメッセージなどの悪意のあるメールを送信する際に自身を匿名化したと考えられています。
As alleged in the unsealed warrant, FBI investigators used undercover purchases to obtain access to the RSOCKS botnet in order to identify its backend infrastructure and its victims. The initial undercover purchase in early 2017 identified approximately 325,000 compromised victim devices throughout the world with numerous devices located within San Diego County. Through analysis of the victim devices, investigators determined that the RSOCKS botnet compromised the victim device by conducting brute force attacks. The RSOCKS backend servers maintained a persistent connection to the compromised device. Several large public and private entities have been victims of the RSOCKS botnet, including a university, a hotel, a television studio, and an electronics manufacturer, as well as home businesses and individuals. At three of the victim locations, with consent, investigators replaced the compromised devices with government-controlled computers (i.e., honeypots), and all three were subsequently compromised by RSOCKS. The FBI identified at least six victims in San Diego. 公開された令状で主張されているように、FBI捜査官は、RSOCKSボットネットのバックエンドインフラとその被害者を特定するために、覆面購入を利用してアクセス権を取得しました。2017年初めに行われた最初の覆面購入では、世界中にある約32万5000台の感染した被害者デバイスを特定し、サンディエゴ郡内にある多数のデバイスを特定しました。捜査官は、被害者デバイスの分析を通じて、RSOCKSボットネットがブルートフォース攻撃を行うことで被害者デバイスを侵害したことを突き止めました。RSOCKSのバックエンドサーバーは、感染したデバイスとの持続的な接続を維持しました。RSOCKSボットネットの被害者は、大学、ホテル、テレビスタジオ、電子機器メーカーなど、複数の大規模な公共および民間企業、さらに一般家庭や個人も含まれています。被害者のうち 3か所では、同意を得て、捜査官が感染したデバイスを政府管理のコンピュータ(ハニーポットなど)に交換しましたが、3か所ともその後 RSOCKS に感染しました。FBIは、サンディエゴで少なくとも6人の被害者を確認しました。
This case was investigated by the FBI and is being prosecuted by Assistant U.S. Attorney Jonathan I. Shapiro of the Southern District of California and Ryan K.J. Dickey, Senior Counsel for the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section.  The Department of Justice extends its appreciation to the authorities of Germany, the Netherlands, and the United Kingdom, the Justice Department’s Office of International Affairs and private sector cybersecurity company Black Echo, LLC for their assistance provided throughout the investigation. この事件は FBI によって捜査され、カリフォルニア州南部地区連邦検事補 Jonathan I. Shapiro と司法省刑事局コンピューター犯罪・知的財産課の上級弁護士 Ryan K.J. Dickey によって起訴されています。  司法省は、捜査を通じて提供されたドイツ、オランダ、英国当局、司法省国際局、民間企業のサイバーセキュリティ企業Black Echo, LLCの支援に感謝の意を表します。
In September 2020, FBI Director Christopher Wray announced the FBI’s new strategy for countering cyber threats. The strategy focuses on imposing risk and consequences on cyber adversaries through the FBI’s unique authorities, world-class capabilities, and enduring partnerships. Victims are encouraged to report the incident online with the Internet Crime Complaint Center (IC3) www.ic3.gov. 2020年9月、FBI長官クリストファー・レイは、サイバー脅威に対抗するためのFBIの新戦略を発表しました。この戦略では、FBI独自の権限、世界最高水準の能力、永続的なパートナーシップを通じて、サイバー敵対者にリスクと結果を課すことに重点を置いています。被害者は、インターネット犯罪苦情センター(IC3)www.ic3.govにオンラインで事件を報告することが推奨されます。

 

Fig1_20220411162001

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.26 2021年のEuropolのハイライト

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.09.17 米国 司法省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

 

|

« 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17) | Main | International Cybersecurity Challenge 2022 の優勝はヨーロッパチーム、2位はアジアチーム »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17) | Main | International Cybersecurity Challenge 2022 の優勝はヨーロッパチーム、2位はアジアチーム »