Salt Typhoon という中国由来の脅威アクター：Verizon／AT&T などのブロードバンド・プロバイダーに侵入

China-linked group Salt Typhoon hacked US broadband providers and breached wiretap systems

2024/10/06 SecurityAffairs — Verizon／AT&T／Lumen Technologies などの米国のブロードバンド・プロバイダーに侵入した、中国由来の APT グループ Salt Typhoon (別名 FamousSparrow／GhostEmperor) が、米政府のためのデータ盗聴システムにアクセスした可能性があるという。このニュースを独占的に報じた Wall Street Journal によると、このセキュリティ侵害は、きわめて大きなリスクをもたらすものとなる。それにより、国家安全保障に影響が生じる可能性もあるため、侵害の内容は公表されていないと、WSJ は述べている。専門家たちは、この脅威アクターの目的は情報収集にあると捉えている。

Wall Street Journal は、「中国政府が関与するサイバー攻撃により、米国のブロードバンド・プロバイダーのネットワークが侵害された。裁判所の許可を得た連邦政府が、ネットワーク盗聴に用いるシステムが、この攻撃で、不正にアクセスされたという可能性が生じている。事情に詳しい関係者によると、このハッカーが、数か月以上にわたって接続を保持していた可能性があるのは、米国政府による合法的な通信データの要求で用いられるネットワーク・インフラであり、国家安全保障上の重大なリスクに相当する」と報じている。

米国政府が、国家安全保障への脅威や犯罪を調査するために使用する監視システムを、Salt Typhoon グループは標的としており、それらの情報の中には、敵対する国家によるアクティビティも含まれているという。

現時点において、米国のブロードバンド・プロバイダーへの侵入に関する調査は進行中であり、その情報の範囲内で、政府の専門家たちは評価している。そして専門家たちは、国家に支援されるハッカーたちが、大量のインターネット・トラフィックを収集し、機密データを侵害した可能性があると疑っている。

この攻撃は、中国の広範なスパイ活動戦略に関連する、最も新しいインシデントである。中国によるサイバー攻撃が、重要なインフラに侵入しようとする状況に対して、米国当局は懸念を深めている。諜報の専門家たちは、このようなセキュリティ侵害により、将来の紛争の際に、破壊的な攻撃が可能になると考えている。

Salt Typhoon オペレーションは、この広範な戦略の一部である。現時点において、攻撃の起源と、攻撃者による Cisco 侵害の有無について、専門家たちによる調査が続いている。ISP インフラのコアネットワーク・コンポーネントである、Cisco ルーターへの不正アクセスについて、今回のセキュリティ侵害に対応している専門家たちが調べ始めたと、今週の Wall Street Journal は報じている。この調査内容を確認した Cisco の広報担当者は、「現時点において、Salt Typhoon オペレーションが、Cisco ルーター群にアクセスしている兆候はない」と述べている。

Wall Street Journal は、「この件に詳しい関係者たちによると、中国政府とつながりのあるハッカーたちが機密情報を求めて、この数カ月の間に米国のインターネット・サービスプロバイダー数社に侵入したようだ。このハッキングを Salt Typhoon 呼ぶ捜査官たちの指摘は、これまで公表されていなかったオペレーションであり、近年における中国由来の一連の侵入の中で、最新のものだという点にある。今回の侵入が示すのは、北京のサイバースパイである強大なデジタル軍団が、米国をはじめとする世界中の重要なコンピュータ・ネットワークに侵入し、ひそかに成功を収めている現状である」と記している。

長年にわたり中国は、世界のインターネット・サービスプロバイダーを標的にしており、過去におけるオペレーションと、今回の攻撃は一致している。

インテリジェンスとサイバー・セキュリティの専門家たちは、中国の国家に支援される脅威アクターたちの動向が、機密情報の窃盗から重要インフラへの侵入へ向けて移行しており、現時点においては、デジタルネット・ワークのコアが標的にされていると警告している。

ただし、Salt Typhoon のハッキング・キャンペーンは、インフラの機能停止ではなく情報収集に重点を置いているようであり、その点で、中国に関連する別の APT グループ Volt Typhoon とは異なっている。SentinelOne の Chris Krebs が示唆するのは、Salt Typhoon の背後にいるグループは中国国家安全省であり、具体的に言うと、情報収集を専門とする APT40 グループと関係があるという点だ。2024年7月の時点で、米国と同盟国は、このグループによるハッキング活動を公に非難している。

中国由来の APTが侵入したのは、裁判所の許可を得た連邦政府がネットワーク盗聴に用いるシステムとのことです。ひょっとすると、NSA が侵害されたのかもしれませんが、NSA が裁判所の許可を得るとは思えません。なお、関連が疑われる Volt Typhoon ですが、これまでの侵害行為では LOLBin 戦術を多用しています。このあたりの技術が共有されていると、検出が困難になります。また、文中の、「中国の国家に支援される脅威アクターたちの動向が、機密情報の窃盗から重要インフラへの侵入へ向けて移行している」という部分が気になります。時期を同じくしてですが、10月7日には「American Water shuts down online services after cyberattack」とう記事もポストされていました。よろしければ、APT40 で検索も、ご参照ください。