出典: Mattia Dantonio via Alamy Stock Photo
カナダは、ソルトタイフーンが2月にCiscoの脆弱性を通じて同国の通信会社の1つを標的にしたことを確認し、中国の脅威アクターによる一連の世界的なサイバー諜報攻撃の影響を受けた組織のリストに追加されました。
国家支援の高度持続的脅威(APT)は、CVE-2023-20198を含むエクスプロイトチェーンを通じて初期アクセスを得ました。これは、ソルトタイフーンが世界中の多数の被害者を標的にしたと考えられる複数のCiscoの脆弱性の1つで、今月初めにカナダサイバーセキュリティセンターが発表したサイバーブリテンによると。
具体的には、ソルトタイフーンは2月中旬に名前の明かされていないカナダの通信会社に登録された3つのネットワークデバイスを侵害しました。
「アクターはCVE-2023-20198を悪用して、3つのデバイスすべてから実行中の設定ファイルを取得し、少なくとも1つのファイルを変更してGREトンネルを設定し、ネットワークからのトラフィック収集を可能にしました」と通知に記されています。
ソルトタイフーンおよび他の中国支援の脅威アクターは、そのようなデバイスを通過するネットワークトラフィックを監視、変更、流出させること、または被害者のネットワークにさらに深く侵入することを目的としているとセンターは述べています。
さらなるサイバー諜報攻撃が予想される
カナダ当局は、今後、通信セクターにとどまらず、ソルトタイフーンの攻撃が広がると予想していると警告しました。これまでのところ、ソルトタイフーンの世界的なサイバー諜報キャンペーンの影響を最も受けているのは通信セクターです。
「別の調査では、ソルトタイフーンに関連する悪意のあるインジケーターとの重複が見つかっており、これが通信セクターだけにとどまらないことを示唆しています」と通知に記されています。 「この活動に関する理解は進化を続けていますが、今後2年間、カナダの組織、特に通信サービスプロバイダーとそのクライアントがこの諜報キャンペーンの一環としてほぼ確実に標的にされ続けると評価しています。」
実際、ソルトタイフーンはすでに世界中の幅広い通信プロバイダーを巻き込んでおり、あるセキュリティ専門家はこれを「不安を感じさせる」サイバー諜報キャンペーンと呼び、昨秋に多数の公開報告を通じて明らかになりました。
ソルトタイフーンの進行中のキャンペーンにおける主な侵入経路は、通信会社、インターネットサービスプロバイダー(ISP)、大学のインフラ内にある1000台以上のCiscoデバイスを標的にすることです。通信キャリアは、彼らのネットワークが高価値のユーザーのために運び、保存する膨大な量の機密データのため、国家支援のアクターにとって「最優先の諜報ターゲット」の1つです。
ソルトタイフーンの高いサイバー攻撃成功率
米国では、主要な移動通信プロバイダーであるAT&T、Verizon、T-Mobileがネットワーク侵害を受けており、衛星通信会社Viasatや企業向けプロバイダーLumen Technologiesも既知の9つの被害者の中に含まれています。イタリア、南アフリカ、タイの通信会社も影響を受けた中に含まれています。
すべての組織がどのタイプのデータや通信がアクセスされたかを具体的に明らかにしているわけではありませんが、米国政府機関は、ソルトタイフーンが特定の顧客の通話記録、標的にされた個人のプライベート通信、法執行機関の監視要求に関する情報にアクセスし、高位の米国国家安全保障および政策担当者に関する情報を収集しようとしたと述べています。
全体として、サイバーセキュリティ専門家は、ソルトタイフーンの猛威を大規模なサイバー脅威の進化における目を見張るような、そして冷静にさせるマイルストーンと呼び、このグループおよび他の中国のアクターに関する最新の情報は、広範な注目と報道にもかかわらず、彼らがサイバー諜報活動を続けていることを示しています。
脅威を監視し軽減するために、カナダのサイバーセキュリティセンターは、組織にネットワークを強化し、エッジデバイスのセキュリティ考慮に焦点を当て、中国支援の脅威アクターに関連する追加のサイバー脅威情報を最新の状態に保つよう奨励しています。
翻訳元: https://www.darkreading.com/cloud-security/canada-targeted-salt-typhoon-telecom