Googleが2人のロシア人を、高度なボットネットを使って世界中の100万以上のWindowsマシンに侵入したとして訴えている。
ニューヨーク南部地区米国地裁に提出された訴状で、Googleはロシア国籍のDmitry Starovikov(ドミトリー・スタロヴィコフ)氏とAlexander Filippov(アレクセイ・フィリポフ)氏の2人をGluptebaボットネットの主な運用者としている。そのGmailとGoogle Workspaceのアカウントは、彼らの犯行計画のために作られたとGoogleは主張している。
Googleの主張では、被告たちはボットネットのネットワークを使って「現代的で国境のない組織犯罪集団を構成」し、Googleユーザーのログイン情報やアカウント情報を盗み、それらを無認証で使用するなど不法な目的に利用した。訴えは両人による損害賠償金の支払いと、Googleのサービスの永久使用禁止を求めている。
Googleは2020年からGluptebaを追っているが、同社によると、これまで世界中のおよそ100万のWindowsマシンに感染し、現在でも1日に数千台のペースで広がり続けている。その主な手口は、ユーザーを騙してサードパーティーの「無料ダウンロードサイト」からマルウェアをダウンロードさせるものだ。するとボットネットはユーザーの認証情報やデータを盗み、秘かに暗号資産の採掘をしたり、プロキシをセットアップして他の人のインターネットトラフィックを感染したマシンやルーターに取り込んだりする。
「いかなるときでも、Gluptebaボットネットは強力なランサムウェア攻撃やDDOS攻撃に利用される可能性がある」とGoogleは訴状にある。
そして同社は、Gluptebaボットネットは、ブロックチェーンを利用して自分が妨害されることを防ぐなど「技術的に高度」なので、従来型のボットネットとの違いが際立つ、ともいう。
Gluptebaボットネットに対する訴訟に加えてGoogleのThreat Analysis Group(TAG、脅威分析グループ)は、ボットネットが米国とインドとブラジル、ベトナム、そして東南アジアの被害者を狙っていることを突き止め、インターネットホスティングプロバイダーたちと協力して、ボットネットの基幹であるコマンドとコントロール(C2)のインフラストラクチャを破壊したと発表した。これにより犯行者はボットネットをコントロールできなくなるが、しかしGluptebaは自己回復の仕組みとしてブロックチェーンの技術を使っているから復帰のおそれがある、とGoogleは警告している。
「Gluptebaボットネットは、従来のボットネットのように既存のウェブドメインだけを使ってその生存を確保しようとはしません。むしろ、ボットネットのC2サーバーが妨害されるとGluptebaのマルウェアは、Glupteba Enterpriseがコントロールしている3つの特定のBitcoinアドレスをはじめとして、公開されているBitcoinブロックチェーンを『探す』ようハードコードされており、それらとのトランザクションを行います。したがってそのブロックチェーンベースのインフラストラクチャを無効にしないかぎり、Gluptebaボットネットを完全に根絶することはできません」とGoogleの訴状にはある。
Googleがボットネットの犯行に対抗するのはこれが初めてだが、それが行われた日は、米国と他の28カ国の政府や人権団体を狙う、中国に支援されたハッカーたちが使っていた悪質なウェブサイトのコントロールを奪ったことを、Microsoftが公表した日の翌日だ。
関連記事:マイクロソフトが中国が支援するハッカーたちのウェブサイトを掌握
画像クレジット:Bryce Durbin/TechCrunch
[原文へ]
(文:Carly Page、翻訳:Hiroshi Iwatani)