CISA/FBI 共同警告:SOHO ルーターへの Volt Typhoon 攻撃の対処を要請

CISA: Vendors must secure SOHO routers against Volt Typhoon attacks

2024/01/31 BleepingComputer — CISA が発した警告は、進行中の攻撃から機器のセキュリティを確保するよう、SOHO (small office/home office) ルーターの製造業者に求めるものだ。展開されている攻撃というのは、特に中国が支援するハッキング・グループ Volt Typhoon (別名:Bronze Silhouette) が、ルーターの乗っ取りを試みているというものだ。CISA/FBI による共同ガイダンスで、両機関がベンダーに求めているのは、設計/開発段階における SOHO ルーターの WMI (Web Management Interface) の脆弱性の解消だ。

さらに両機関は、セキュリティ・アップデートを自動化するために、下記の対応をするよう求めている。

  • ルーターのデフォルト設定を調整すること。
  • セキュリティ設定を無効化する際には、手動によるオーバーライドを要求すること。
  • ルーターの WMI にアクセス出来るのは、ローカルエリア・ネットワークに接続されているデバイスからのみに制限すること。

この種のデバイスの多くを侵害した脅威アクターは、米国で利用されている SOHO ルーターの数の多さを悪用し、それらを起点として、米国の重要インフラ組織を攻撃している。

CISA は、「我々と FBI は、SOHO ルーターの設計/開発/保守などにセキュリティを組み込むことを、メーカーたちに強く求めている。そうすることで、それらデバイスを侵害する脅威アクターが起点を確保し、米国の重要インフラ組織への、さらなる攻撃の試行を阻止できる」としている。

さらに CISA は、「また、製造業者に対して、CVE (Common Vulnerabilities and Exposures) プログラムを通じて脆弱性を開示し、それらの脆弱性の正確な CWE (Common Weakness Enumeration) 分類を提供することで、Volt Typhoon というサイバー脅威を排除するよう促している。また、このアラートは、メーカーに対して、製品の設計/開発時にセキュリティを優先する、インセンティブ構造を導入するよう求めている」と述べている。

CISA Volt Typhoon tweet
Volt Typhoon が SOHO ルーターのボットネットにリンク

CISA が 1月31日のアラートで言及している、SOHO ルーターを標的とした Volt Typhoon 攻撃は、2023年12月に発生した、中国のサイバー・スパイである Volt Typhoon 関連と付けられた、KV-botnet マルウェアを使用した攻撃である可能性が高い。この攻撃は、遅くとも 2022年8月以降から、このような機器を標的としている。

2023年6月の米国政府の勧告において、米国全土の通信インフラを混乱させるインフラの構築に、Volt Typhoon は取り組んでいると指摘されている。また Volt Typhoon は、遅くとも 2021年半ばから、複数の米軍基地を抱えるグアムを含む米国の重要インフラ組織に侵入していたことが、2023年3月の Microsoft のレポートで明らかにされている。

Volt Typhoon は、ルーター/ファイアウォール/VPN デバイスなどを標的とし、悪意のトラフィックをプロキシすることで知られている。さらに同グループは、Netgear ProSAFE ファイアウォールや、Cisco RV320/DrayTek Vigor ルーター、Axis IP カメラなども標的としていることが、Lumen Technologies の Black Lotus Labs チームにより判明している。

Lumen は、「このキャンペーンは、ネットワークのエッジにあるデバイスを感染させるものだ。このセグメントは、近年のリモート・ワークへのシフトにより、多くの企業の防御のソフト・スポットとして台頭している」と述べている。

KV-botnet により構築された秘密データ転送ネットワークは、米軍組織/電気通信および、インターネット・サービス・プロバイダー、グアムの米領政府機関、ヨーロッパの再生可能エネルギー企業などの、幅広い組織を標的とした攻撃に使用されている。

Reuters の報道によると、米国政府は、ここ数ヶ月の間に Volt Typhoon のインフラの一部をすでにダウンさせたとのことだ。

ずっと気になっている Volt Typhoon ですが、たとえば 2023/06/26 の「Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた」には、Living-off-the-land (LotL) テクニックを使用していると記されています。この LotL ですが、「Living Off The Land(環境寄生型)の攻撃とは、対策側の監視や調査を回避することを目的とし、持ち込んだ正規ツールの悪用や被害者の環境にあるシステムを悪用する、痕跡を残さない手法を用いる攻撃手法だ」と解説されています。CISA のドキュメントには、LotL に触れられていませんが、とても気になる点です。