ボットネット、特に有料ボットネットは、分散型サービス拒否(DDoS)攻撃、仮想通貨マイニング、スパム攻撃、その他の不正なアプリケーションの実行を企む者にとって、技術へのアクセスハードルを下げています。また、ボットネットの構築と展開は、正規のソフトウェア開発と同様に、既存のコードベースを利用して悪意のあるボットネットを作成できるため、ますます容易になっています。
高度な技術的知識がほとんど必要とされないことを示す例として、アカマイ・ウェブサービスの研究者が「Dark Frost」と名付けたボットネットが挙げられます。Dark Frostは、古いボットネットのコードを寄せ集めて使用しているにもかかわらず、400台以上の侵害デバイスをエクスプロイトに利用しています。
Akamai のセキュリティ インテリジェンス レスポンス チームのセキュリティ研究者、アレン ウェスト氏によると、金銭目的の攻撃者は、大勢の視聴者の注目を集めるためにゲーム プラットフォームをターゲットにしているとのことです。
参照:Akamai が偽サイトと API の脆弱性を調査 (TechRepublic)
「セキュリティコミュニティが、このような低レベルの攻撃者が大きな脅威に成長する前に、初期段階で認識し始めることが重要だ」とウェスト氏は攻撃に関するブログに記し、ダークフロストは注目を集めようとするため追跡が難しくないと付け加えた。
ウェスト氏とソーシャルメディアやRedditを調査する他の研究者による調査によると、Dark Frostボットネットの背後にいる攻撃者は20代前半で、米国を拠点としており、国家と連携した攻撃者ではない可能性が高い。ウェスト氏は、この攻撃者はおそらく単独の個人であり、同じ志を持つ少数のハッカーグループと連携してコードを共有していると述べた。
ジャンプ先:
- ゲームプラットフォームは注目を集めたいハッカーの標的
- DDoSの収益化
- Dark Frostを作るには、コードベースを追加して混ぜるだけです
- ボットネットのハードルを下げる
ゲームプラットフォームは注目を集めたいハッカーの標的
Akamai の研究者によると、Dark Frost の攻撃者のゲーム業界での悪用には、ゲーム サーバー ホスティング プロバイダー、オンライン ストリーマー、モッダー (商用ゲームを改造して、より魅力的で関連性のあるものにする人々)、およびコミュニティの他のメンバーの標的化が含まれます。
ウェスト氏は、カスタム サーバーでのモッダーの増加により、防御策が少なく、大規模な保護にお金をかけていないことが多いため、モッダーが大規模で容易な標的になっていると指摘しました。
参照: Google が DDoS 脅威とどう戦っているか (TechRepublic)
「モッダーたちは[サイバー脅威]に対処し始めており、セキュリティのためのオープンソースの無料オプションもいくつかあるが、これらの行為者は、保護が優れていると考えるものを狙っているわけではない」とウェスト氏は述べた。
DDoSの収益化
調査によると、Dark Frost の攻撃者はこのツールを DDoS 攻撃の有償エクスプロイトおよびスパム送信ツールとして販売している。
「この攻撃者による攻撃は今回が初めてではありません」とウェスト氏は述べ、攻撃者はDiscordを好んで利用し、自社製品を堂々と宣伝し、自慢していると指摘した。「彼はそこで注文を受け、銀行口座のスクリーンショットまで投稿していました。それが本物かどうかは定かではありません」
Dark Frostを作るには、コードベースを追加して混ぜるだけです
Dark Frostボットネットは悪名高いMiraiボットネットのコードを使用している。West氏によれば、このコードは入手が容易で、数百台のマシンを攻撃するのに非常に効果的であり、過去に成功したマルウェア株のソースコードとAIコード生成を使えば、最小限の知識しか持たない人でもボットネットやマルウェアを起動できることを象徴しているという。
「Miraiの作者はソースコードを誰でも見られるように公開しました。これがきっかけとなり、他のマルウェア作者が同様のことをしたり、セキュリティ研究者が信頼性を得るためにソースコードを公開したりする流れが生まれたのだと思います」とウェスト氏は述べた。「DDoS攻撃は過去のものと考える人もいますが、依然として被害をもたらしています。」
Akamai によれば、ボットネットは次のようになります。
- Gafgyt、Qbot、Mirai などのマルウェア株をモデルにしており、侵害を受けたデバイスが数百台にまで拡大しています。
- ユーザー データグラム プロトコルを使用した場合、約 629.28 Gbps の攻撃可能性があります。
ボットネットのハードルを下げる
West 氏は TechRepublic に対し、効果的であることがわかっているボットネットやエクスプロイトのコードベースは簡単に入手できると語った。
「公開リポジトリでは、過去に効果的に機能したマルウェアを簡単に見つけて、最小限の労力で何かを組み立てることができます」と彼は述べた。「Dark Frostはその好例です。彼らがいかに厚かましくそれについて語っているかは、彼らが何をしているのか、そしてその行動が何を意味するのかを本当に理解していない人物であるという印象を強めるだけです。」
俳優は違法なサービスを宣伝し、身を隠すための手段をほとんど講じなかった。
「金銭が名声を奪い、さらに名声を奪おうとしているようなものです。入ってくるマルウェアをすべて見てみると、このマルウェアが定着したのは、彼が文字通り署名したからです。そして、8つのソーシャルメディアプラットフォームでこの攻撃について話題になっているのを見つけました」とウェスト氏は述べた。
ウェスト氏によると、最も重要な点は、ダークフロストの作者が最小限の労力で被害を与えることに成功し、悪意のある人物を組織化してエクスプロイトの能力を拡大しようとしていることだという。
「セキュリティ企業や企業全体が、将来的にさらに大きな問題になったときに阻止できるように、こうした脅威を初期段階から認識し始めるべきだ」と同氏は述べた。
