Cisco Talos の研究者が先週、「VPNFilter」と呼ばれる APT マルウェアの初期分析を発表しました。彼らの推定によれば、少なくとも 54 カ国の 500,000 台以上の SOHO 向けルータがすでにこのマルウェアに感染しています。さらに、FBI がその数時間後に、裁判所の命令によって、このマルウェアの C2（コマンド & コントロール）ボットネットの主要ドメイン名を差し押さえたと発表しました。

VPNFilter は、極めて高度なモジュール型マルウェアであり、複数の段階を使って、常駐化、C2 サーバとの通信、専用の追加マルウェアモジュールのダウンロードを実行します。最初の 2 つの段階では、国家主導の犯罪集団である ATP28／ファンシーベア／Sofacy によって以前に使われたことのある、RC4 暗号化の不備のある実装が使われます。

このマルウェアの第 1 段階は、他の一般的な IoT マルウェアとは異なり、感染デバイスで常駐化できるため、デバイスを再起動しても感染した状態が解消されません。第 1 段階では、足場を確立した後に、Photobucket イメージやハードコーディングされたドメインに隠された IP アドレスなどのいくつかの方法を使って、第 2 段階で使用するマルウェアをダウンロードしようとします。また、これらのダウンロード方法のすべてが失敗した場合は、さらなる命令が含まれる特殊なネットワークパケットを待機します。

第 2 段階には常駐化の機能がなく、FBI が先週金曜日に感染が疑われるルータの再起動を呼びかけたのは、そのためです。このマルウェアが第 2 段階のペイロードをすぐに再ダウンロードする可能性はありますが、第 1 段階で FBI が差し押さえた C2 ドメインにコールホームを試行すれば、感染したデバイスを FBI が特定できるはずです。第 2 段階は他のボットネットと同様、定期的に C2 サーバに問い合わせ、受け取ったコマンドをデバイスで実行します。ただし、VPNFilter が他のボットネットと異なるのは、重要なストレージを上書きして再起動することで感染デバイスを使用不能にするコマンドが含まれている点にあります。このことから、攻撃者が手の混んだ方法で自らの痕跡を隠そうとしていることがわかります。

Talos の研究者は、現段階では、このマルウェアを感染デバイスにインストールするために悪用した脆弱性を正確に特定できていないとしていますが、感染デバイスのすべてに攻撃に悪用された可能性のある既知の脆弱性が存在すると指摘し、この攻撃にはゼロデイのエクスプロイトは不要であると考えられると述べています。この攻撃の影響を受けるデバイスとしては、Linksys、Mikrotik、NetGear、QNAP、TP-LINK の複数のルータがあります。影響を受けるデバイスの全リストは、Talos の情報公開ページの末尾に記載されています。– Marc Laliberte