Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs
2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。
この APT に関する詳細レポートで、「このキャンペーンで開発されているのは、将来における有事の際に、米国とアジア地域の重要通信インフラ妨害するシステムだと、我々は中程度の確信を持って評価している」と、Microsoft は述べている。
米国の CISA が発表した緊急速報は、この脅威アクターへの注意を喚起し、侵害の兆候の検知に役立つ、緩和策/IOC/テレメトリー情報をなどを提供している。
Microsoft は、このキャンペーンを Volt Typhoon と命名し、「機密情報へのアクセスとネットワーク・システムの検出に焦点を当てた、標的型のステルス攻撃だ」と説明している。同社によると、このグループは 2021年半ばから活動しており、グアムや米国内の他の地域の主要なインフラ組織を標的にしてきたという。
Volt Typhoon は、通信/製造/公益事業/輸送/建設/海事/政府/情報技術/教育部門などにまたがる、あらゆる組織に対して攻撃を仕掛けている。
Microsoft は、「Volt Typhoon は、スパイ活動を行い、可能な限りく発見されることなくアクセスを維持しようとしている」と述べている。
同グループは、インターネットに接続された Fortinet FortiGuard デバイスを通じてターゲット企業に侵入し、侵害された SOHO (Small Office/Home Office) ルーターを使うことで、活動拠点の特定を困難にさせている。
さらに Microsoft は、「我々は、ASUS/Cisco/D-Link/NETGEAR/Zyxel 製のデバイスの多くが、所有者の設定により、HTTP/SSH 管理インターフェースをインターネットに公開できることを確認している。ネットワーク・エッジ・デバイスの所有者は、攻撃対象領域を減らすために、管理インターフェイスがパブリックなインターネットに公開されていないことを確認する必要がある。Volt Typhoon は、これらのデバイスを経由してプロキシ化することで、オペレーションのステルス性を高め、インフラを取得するためのオーバーヘッド・コストを低減させている」と述べている。
同社のレポートによると、このグループはシステムの情報を検索して、ネットワーク上の他のデバイスを発見し、データを流出させるために、“living-off-the-land” コマンドを多用しているとのことだ。
つい先日の 2023/05/18 にも、「中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化」という記事をポストしましたが、Microsoft がグアムで発見したというマルウェアは、別物なのでしょうか?また、Microsoft が指摘するように、ネットワーク・エッジ・デバイスのミスコンフィグレーションなどにより、管理インターフェイスがパブリックなインターネットに公開されてしまうという問題も、とても深刻な話です。よろしければ、C-Warfare ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.