英国、米国および世界各国のパートナーは、中国の悪名高いAPTグループ「Salt Typhoon」に関する新たな報告書を発表し、同グループがサイバースパイ活動の目的を達成するために複数の商業テック企業から支援を受けていると主張しました。
報告書では、四川聚信合网络科技、北京寰宇天穹信息科技、四川智信瑞杰网络科技が、中国の情報機関に「サイバー関連の製品およびサービス」を提供していると名指ししています。
「外国の通信事業者やインターネットサービスプロバイダー(ISP)に対するこの活動を通じて盗まれたデータや、宿泊・交通分野への侵入は、最終的に中国の情報機関に、世界中で標的の通信や移動を特定・追跡する能力を与える可能性がある」と警告しています。
これらの活動は少なくとも2021年から継続しており、初期侵入の際にはゼロデイではなく既知の脆弱性の悪用に重点が置かれています。
Salt Typhoonについてさらに読む:Salt Typhoonがカスタムツールで米国通信会社のCisco機器をスパイ
報告書は、影響を受ける可能性のある組織のネットワーク防御担当者に対し、ネットワークエッジデバイスのパッチ適用を優先するよう呼びかけ、特に以下の脆弱性に注意を促しています:
- CVE-2024-21887(Ivanti Connect SecureおよびIvanti Policy Secure)
- CVE-2024-3400(Palo Alto PAN-OS GlobalProtect)
- CVE-2023-20273およびCVE-2023-20198(Cisco IOS XE)
- CVE-2018-0171(Cisco Smart Install RCE)
これらの脆弱性を悪用することで、攻撃者はルーターやエッジデバイスへのアクセスを獲得し、プロバイダーと顧客間の信頼された接続を乗っ取って他のネットワークに侵入する可能性があります。
「APTアクターは、仮想プライベートサーバー(VPS)や侵害された中間ルーターなど、公開されている既知のボットネットや難読化ネットワークインフラに帰属しないインフラを活用し、通信事業者やネットワークサービスプロバイダー(ISPを含む)を標的にしている」と報告書は説明しています。
「APTアクターは、特定のデバイスの所有者に関係なくエッジデバイスを標的にする可能性があります。攻撃者の主要な標的と一致しない組織が所有するデバイスであっても、標的への攻撃経路として利用される機会を提供します。」
これらの手法は、世界中の多数の国で組織が侵害されるのに使われたと報告されています。
ネットワーク防御担当者に即時対応を要請
今回の最新報告書は、昨年11月の警告に続くもので、Salt Typhoonが「広範かつ重大なサイバースパイ活動」において、少なくとも8つの米国通信会社に侵入したとされています。
ハッカーは、顧客の通話記録データや、政府や政治活動に関与する一部の人物のプライベートな通信、さらに米国法執行機関の要請対象となる情報を入手しました。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、当時警告を発し、リスクの高い個人は暗号化されていないSMSの利用をやめ、エンドツーエンドで暗号化されたメッセージングアプリやフィッシング耐性のある多要素認証(MFA)を採用するよう勧告しました。
今回の最新勧告には、英国、米国、オーストラリア、カナダ、ニュージーランド、チェコ、フィンランド、ドイツ、イタリア、日本、オランダ、ポーランド、スペインが署名しており、Salt Typhoonの活動規模の大きさを示しています。
「中国に拠点を置く名指しされた商業企業による無責任な行動が、世界規模で制限のない悪意あるサイバー活動を可能にしていることに深い懸念を抱いています」とNCSC CEOのリチャード・ホーン氏は述べました。
「標的となっている重要分野の組織は、公開されている、つまり修正可能な脆弱性を悪用するサイバーアクターによる脅威について、この国際的な警告に必ず耳を傾けることが重要です。」
ホーン氏は、ネットワーク防御担当者に対し、侵害の兆候(IoC)に基づいた推奨緩和策を適用し、悪意ある活動を積極的に検出すること、さらにネットワーク機器のログを定期的に確認し異常な活動の兆候を監視するよう呼びかけました。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-tech-firms-salt-typhoon/