NSA/CISA/FBI 勧告:中国の国家支援ハッカーたちが Telecom/NSP を狙っている

U.S. Agencies Warn About Chinese Hackers Targeting Telecoms and Network Service Providers

2022/06/08 TheHackerNews — 米国のサイバーセキュリティ/情報機関は、少なくとも 2020年以降において、中国を拠点とする国家に支援されたサイバー行為者が、公共/民間組織のネットワークの脆弱性を悪用して侵害していると警告している。この広範な侵入キャンペーンでは、Small Office/Home Office (SOHO) ルーターやネットワーク接続ストレージ (NAS) デバイスなどの、すでに公表されているセキュリティ上の欠陥を悪用し、被害者のネットワークへの深いアクセスを獲得することを目的としている。

NSA

米国の NSA/CISA/FBI は共同勧告の中で、これらの機器を侵害し、Command and Control (C2) トラフィックのために使用し、他のターゲットへ向けた大規模に侵入を行っていると発表している。

この犯人は、公開された情報に応じて戦術を変えるだけではなく、偵察行為や脆弱性スキャンのためにオープンソースとカスタムツールを組み合わせ、活動の実態を不明瞭にすることで知られている。

攻撃自体は、中国に拠点を置く IP アドレスから、ホップポイントと呼ばれる悪意のサーバーにアクセスし、C2 ドメインや電子メールアカウントをホストし、ターゲットネットワークとの通信に使用することで促進されている。

米国の各機関は、「サイバー攻撃者は、被害者ネットワークとやり取りする際に、これらのホップポイントを難読化技術として使用している」と指摘し、電気通信組織やネットワーク・サービス・プロバイダーの欠陥を武器にする、敵のパターンを詳述している。

攻撃者たちは、インターネットに面した未パッチの資産を通じて、ネットワークへの足がかりを得ると、ユーザー/管理者アカウントの認証情報を取得し、その後に、ルーターコマンドを実行し、攻撃者の管理するインフラへのトラフィックをルーティングし、情報をキャプチャ/流出させることが確認されている。また、攻撃者たちは、自身の存在を隠し、検知を逃れるために、ローカルのログファイルを修正/削除して、活動の証拠を消している。

この調査結果が指摘するのは、中国の国家に支援されたグループが、重要なインフラを積極的に攻撃し、機密データ/キーテクノロジー/知的財産/個人情報などを盗み出してきた歴史である。また、サイバーセキュリティ当局は、標的を攻撃するために、最も日常的に悪用されるイニシャル・アクセス・ベクターを明らかにしている。その中には、誤った設定のサーバー/脆弱なパスワード管理/未パッチのソフトウェア/ブロックされないフィッシング試行などが含まれていることを明らかにしている。

当局は、「利用可能なパッチをシステムに適用し、耐用年数の過ぎたインフラを交換し、集中パッチ管理プログラムを導入することで、この勧告に記載された脆弱性を軽減できる」と述べている。

いわゆる、国家に支援された APT (Advanced Persistent Threats) 活動を積極的に行っているのは、主にロシア/イラン/中国/北朝鮮だとされています。その中でも、中国の APT は技術力が高く、何処に潜んで何を傍受しているのか分からない、という論評をよく見ます。しかし、これはもう、サイバー戦争の領域なので、被害に遭っているとされる米国などが、事実を正確に発表しているかといえば、そこも闇の中です。とは言え、攻撃に用いられるデバイスが明示されているわけですから、とばっちりを受けないよう、気をつけたいですね。よろしければ、中国+APT で検索も、ご利用ください。

%d bloggers like this: