カナダサイバーセキュリティセンターとFBIは、中国政府が支援するハッキンググループ「Salt Typhoon」がカナダの通信会社をも標的にしており、2月にある通信プロバイダーに侵入したことを確認しました。
2025年2月の事件では、Salt TyphoonはCVE-2023-20198の脆弱性を悪用しました。これは、リモートの認証されていない攻撃者が任意のアカウントを作成し、管理者レベルの権限を得ることを可能にする、重大なCisco IOS XEの脆弱性です。
この脆弱性は2023年10月に初めて公開され、脅威アクターがゼロデイとして利用し、10,000台以上のデバイスをハッキングしたと報告されました。
かなりの時間が経過したにもかかわらず、カナダの主要な通信プロバイダーの少なくとも1社がまだパッチを適用しておらず、Salt Typhoonにとってデバイスを侵害する簡単な方法を提供していました。
“2025年2月中旬に、カナダの通信会社に登録された3つのネットワークデバイスが、おそらくSalt Typhoonのアクターによって侵害されました”と公報は述べています。
“アクターはCVE-2023-20198を利用して、3つのデバイスすべてから実行中の構成ファイルを取得し、少なくとも1つのファイルを変更してGREトンネルを設定し、ネットワークからのトラフィック収集を可能にしました。”と述べています。
2024年10月、Salt Typhoonが複数のアメリカのブロードバンドプロバイダーを侵害した後、カナダ当局は国内の数十の重要な組織を標的にした偵察活動を警告しました。
当時、実際の侵害は確認されておらず、セキュリティを強化する呼びかけにもかかわらず、一部の重要なサービスプロバイダーは必要な措置を講じていませんでした。
サイバーセンターは、別々の調査とクラウドソースされたインテリジェンスに基づいて、Salt Typhoonに関連する活動が通信セクターを超えて、複数の他の産業を標的にしている可能性があると指摘しています。
多くの場合、活動は偵察に限られていますが、内部ネットワークから盗まれたデータは、横方向の移動やサプライチェーン攻撃に使用される可能性があります。
サイバーセンターは、カナダの組織に対する攻撃が「今後2年間ほぼ確実に続く」と警告し、重要な組織にネットワークを保護するよう促しています。
通話メタデータ、加入者の位置データ、SMSの内容、政府/政治の通信などの貴重なデータを扱う通信サービスプロバイダーは、国家支援のスパイグループにとって主要な標的です。
彼らの攻撃は通常、ネットワークの周辺にあるエッジデバイス、ルーター、ファイアウォール、VPNアプライアンスを標的にし、MSPやクラウドベンダーも顧客への間接的な攻撃のために標的にされます。
サイバーセンターの公報には、重要なインフラストラクチャの運営者向けのエッジデバイス強化指示を提供するリソースが記載されています。
Salt Typhoonの攻撃は、数十か国の複数の通信会社に影響を与えており、AT&T、Verizon、Lumen、Charter Communications、Consolidated Communications、Windstreamが含まれます。
先週、ViasatもSalt Typhoonに侵入されたことを確認しましたが、顧客データには影響がありませんでした。
ITチームが手動パッチ管理をやめる理由
パッチ適用はかつて、複雑なスクリプト、長時間、そして終わりのない火消し作業を意味していました。しかし、今は違います。
この新しいガイドでは、Tinesが現代のIT組織がどのように自動化でレベルアップしているかを説明します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中できます — 複雑なスクリプトは不要です。