エストニアでサイバー犯罪主犯格が逮捕 - 400万台規模のボットネットが停止

感染規模は100カ国で公的機関、教育機関、企業、個人など400万台以上にのぼり、米国でも50万台以上が被害に遭っていた。犯行グループは、不正な広告表示などにより1400億ドル以上の不正利益を上げていたと見られている。

作戦に協力した米Trend Microでは、2006年ごろより、Rove Digitalが不正プログラムの感染活動、コマンド＆コントロールサーバや不正DNSサーバを利用したボットネットによるクリック詐欺など関わっていたことを把握しており、捜査に協力してきたという。

Trend Microは、マルウェアがアクセスするコマンド＆コントロールサーバのドメインに、Rove Digital子会社「Esthost」のサブドメインを利用していることを突き止め、2009年には、Rove Digitalの従業員が利用していたハードディスクのコピーを入手。

同ハードディスクには、SSHの公開鍵が保存されており、コマンド＆コントロールサーバにアクセスすることが可能で。サーバのログからタルトゥ市の同社オフィスからボットネットがコントロールされていたことを確認した。

（Security NEXT - 2011/11/14 ） ツイート

PR

関連記事

IIJ、「Mirai亜種」解析ツールを無償公開 - C2や感染傾向を可視化
米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
初期パスワードの「Juniper SSR」でMirai感染 - 全バージョンに影響
「Mirai」と異なるボット、国内ベンダーのルータに感染拡大か
先週注目された記事（2024年5月5日〜2024年5月11日）
国内で「Mirai」とは異なるボットネットの動きが加速
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
「環境変数ファイル」など狙うマルウェア「Androxgh0st」
外部から見える脆弱性や闇ウェブ情報など監視するサービス
「VioStor NVR」の脆弱性に注意 - 「Mirai」亜種の拡大に悪用