日米の共同勧告：中国の APT BlackTech が Cisco ルーターをバックドアにしている

US and Japan warn of Chinese hackers backdooring Cisco routers

2023/09/27 BleepingComputer — 日本と米国の法執行機関およびサイバーセキュリティ機関が、中国の BlackTech というハッカーがネットワーク機器を侵害し、企業ネットワークにアクセスするためのカスタム・バックドアを設置していると警告している。この共同勧告は、FBI／NSA／CISA に加えて、日本の NISC と警察庁が発行したものであり、国家に支援されたハッカー集団が、事前に海外子会社のネットワーク機器を侵害し、本社のネットワークに軸足を移していると説明している。

BlackTech (別名 Palmerworm／Circuit Panda／Radio Panda) は、日本／台湾／香港を拠点とする企業に対して、遅くとも 2010年以降においてサイバー・スパイ攻撃を仕掛けてきたとされる、国家に支援された中国の APT (Advanced Persistent Threat) グループである。

また、BlackTech が標的とする分野には、政府／産業／テクノロジー／メディア／エレクトロニクス／テレコミュニケーション／防衛産業などが含まれる。

ネットワーク・デバイス上のカスタム・マルウェア

FBI の通達によると、BlackTech ハッカーは、定期的に更新されるカスタム・マルウェアを用いて、永続的なネットワークへのアクセスを確立した後に、ネットワーク・デバイスをバックドア化し、攻撃者が管理するサーバへ向けてトラフィックをリダイレクトし、データを盗み出している警告している。

それらのカスタム・マルウェアには、盗まれたコード証明書を用いた署名が行われ、セキュリティ・ソフトウェアによる検出が難しくなっていることもあると、警告されている。盗まれた管理者認証情報を活用することで、攻撃者は幅広いブランド／モデル／バージョンのルーターを侵害し、永続性を確立し、ネットワーク上で横方向に移動していく。

このサイバー・セキュリティに関する共同勧告には、次のように記されている：

「BlackTech による具体的な手口は、標的ネットワークへの最初の足がかりを掴んだ後に、ネットワーク・エッジ・デバイスへの管理者アクセス権を獲得するというものだ。続いて、この脅威アクターは多くの場合において、ファームウェアを変更し、エッジ・デバイス全体で活動を隠蔽し、ネットワーク内での永続性をさらに維持する。組織全体に足場を広げるために、BlackTech はブランチ・ルーター（通常はリモートの支社で使用される小型アプライアンス）を最初の標的とし、企業ネットワーク内のブランチ・ルーターの信頼関係を悪用する。そして、BlackTech は、侵害したパブリック向けのブランチ・ルーターを、トラフィックをプロキシングするためのインフラの一部として悪用し、企業ネットワークのトラフィックに紛れ込み、企業内ネットワーク上の他の被害者選び出して新たな攻撃を仕掛ける。ーーー 共同勧告

それらの変更されたファームウェアが機能することで、設定の変更や実行されたコマンドの履歴から、脅威アクターは隠すことができる。また、悪意の操作に積極的に関与している間は、侵害したデバイスのロギングを無効化することも可能だ。

特に Cisco ルーターの場合においては、特別に細工された悪意の TCP／UDP パケットが標的デバイスに送信され、SSH バックドアの有効化／無効化が切り替わることを、研究者たちは確認している。この方法により、攻撃者は検知を回避し、必要に応じてバックドアを有効化できる。

さらに脅威アクターは、Cisco ROM Monitor のシグネチャ検証機能をバイパスするために、Cisco デバイスのメモリにパッチ適用することも確認されている。それにより、脅威アクターは、標的デバイスにアクセスしてもログを残さないバックドアをプリインストールした、修正ファームウェアをロードすることが可能だという。

侵入された Cisco ルーターのケースでは、タスクの自動化に使用される EEM ポリシーを変更することで、正当なコマンドから特定の文字列を削除し、その実行をブロックし、フォレンジック分析を妨げるという。

このようなカスタム・マルウェアの作成は、BlackTech APT グループにとっては、目新しいことではない。2021年の NTT と Unit 42 によるレポートでも、この種の戦術が用いられていると強調されていた。

また、Trend Micro の古いレポートには、脆弱なルーターを侵害し、C2 サーバとして悪用する戦術について、詳しく記述されている。

防御に関する勧告

このアドバイザリがシステム管理者に対して提言するのは、不正なブートローダ／ファームウェア・イメージのダウンロードや、ルーター・ファームウェアの修正などで生じる、デバイスの異常な再起動を監視することだ。また、ルーター上で観測される SSH トラフィックも、疑いの目をもって扱うべきである。

具体的には、以下の緩和策が推奨されている：

• “transport output none” コマンドを使用して、不要な外部接続を防止する。
• デバイス上のインバウンド／アウトバウンドのトラフィックおよび、特に不正アクセスを監視し、VLAN で管理システムを分離する。
• ネットワーク管理者には特定の IP アドレスのみを許可し、ログイン試行を追跡する。
• 高度なセキュアブートを備えた機器に移行し、旧式の機器の更新を優先する。
• 侵入が疑われる場合は、速やかに全てのパスワードとキーを変更する。
• ログを精査し、予期せぬ再起動や設定変更などの異常を確認する。
• Network Device Integrity (NDI) 手法を活用し、不正な改変を検出する。
• ブートレコードとファームウェアに関しては、信頼できるバージョンと定期的に比較する。

このトピックに関しては、Cisco もセキュリティ勧告を発表しているが、BlackTech によるマルウェアへの署名のために、自社製品の脆弱性や盗まれた証明書を悪用されている兆候はないと強調している。

また、Cisco は、セキュリティ対策をバイパスするためにファームウェアをダウングレードする攻撃手法は、古いレガシー製品にのみ適用されると指摘している。

この１年において、ネットワーク・デバイスを標的にした攻撃が急増しており、中国系の脅威アクターたちも、Fortinet／TP-Link／SonicWall のデバイスを、カスタム・マルウェアの標的にしている。

また、2023年4月には、米英国の政府と Cisco が、ロシアの APT28（Fancy Bear、STRONTIUM）による Cisco iOS デバイスへの攻撃を警告している。このグループは、カスタム・マルウェアを展開してデータを盗み出し、内部デバイスへと軸足を移していった。

一般的に、エッジ・ネットワーク・デバイスは EDR (Endpoint Detection and Response) セキュリティ・ソリューションをサポートしていない。したがって、データの窃取やネットワークへのイニシャル・アクセスを試みる脅威アクターたちにとって、それらは格好の標的となっている。

2023年5月に Mandiant の CTO である Charles Carmakal は、「中国と密接な関係にあるサイバー・スパイが、EDR ソリューションに対応していないネットワーク・アプライアンスや IoT デバイスなどにフォーカスするという、大きな問題が存在し、また、繰り返されている。したがって、ネットワーク管理者は、セキュリティ・パッチが利用可能になり次第、すべてのエッジ・デバイスにインストールする必要がある。また、管理コンソールを一般に公開してはならない」と、BleepingComputer に述べている。

日本の NISC と警察庁も加わる、日米の共同勧告として、Cisco ルーターと企業ネットワークへの侵害に警鐘が鳴らされています。具体的に言うと、BlackTech というサイバー・スパイが、日本／台湾／香港を拠点とする企業に対して、遅くとも 2010年以降において侵害を繰り返していたとのことです。この種の侵害が、他にもあるのかと、心配になってくる事態です。