出典: Brian Maudsley via Alamy Stock Photo
研究者たちは、サイバー諜報活動の目的で中国の国家主体と疑われる者たちによって制御されている新たな運用リレーボックス(ORB)のネットワークを発見しました。
SecurityScorecardのSTRIKE研究チームによると、「LapDogs」と名付けられたこのORBネットワークは、米国、日本、韓国、香港、台湾の「非常に局所的なターゲット」に対してカスタムバックドアを用いて1,000以上のノードを感染させました。研究者たちは、このネットワークを中国関連の主体に中程度の確信を持って帰属させ、LapDogsと他の中国国家支援のORBネットワークとの類似点を指摘しました。
ORBネットワークは、中華人民共和国(PRC)からの脅威活動の増加の象徴となっています。さまざまなサイバーセキュリティベンダーは、近年、諜報活動者がルーター、IoTデバイス、仮想プライベートサーバーを特徴とするボットネットのようなネットワークを構築し、直接攻撃を行うのではなく、悪意のある操作を正当なトラフィックとして偽装するインフラを提供していることを詳述しています。
SecurityScorecardは、ORBネットワークを「スイスアーミーナイフ」として攻撃者が偵察、脆弱性スキャン、匿名化ブラウジング、指揮統制(C2)操作を秘密裏に行うために使用できるため、新たな脅威と呼びました。大規模な攻撃のために。
「中国関連のAPTにとって主なTTPとしてのORBネットワークの台頭は、ノードの数の多さとその変化の速さのために、IOC(侵害指標)追跡の重要性を低下させ、従来のセキュリティのベストプラクティスに大きな課題をもたらします」と報告書は述べています。
LapDogsのサイバー攻撃の噛みつき
STRIKEの研究者たちは最近、Linuxベースの小規模オフィス/家庭用オフィス(SOHO)を感染させるLapDogsを特定しましたが、ORBネットワークは少なくとも2023年9月から活動していることが判明しました。研究チームはまた、LapDogsが過去2年間で着実に成長していることを指摘しました。
報告書によると、このキャンペーンはISP、ハードウェアベンダー、IT、ネットワーキング、不動産、メディア部門の「特定の組織」に影響を与えました。例えば、STRIKEの研究者たちは、LapDogsが英国のメディア企業、地方自治体のサービスオフィス、不動産会社、日本のITおよびネットワークソリューション企業のデバイスを侵害したと述べました。
SecurityScorecardは、感染したノードが悪意のあるサイバー活動に使用されることを超えて、所有組織に深刻な脅威をもたらす可能性があると警告しました。
「LapDogs ORBのすべてのノードは、脅威アクターがノードが接続されている内部ネットワークにさらにアクセスするために使用できるため、侵害されたデバイスの所有者はさらに被害を受ける可能性があり、予防措置を講じるべきです」と研究チームは述べました。
感染したデバイスの半数以上はRuckus Wirelessのアクセスポイントであり、他のベンダーの製品も影響を受けました。ASUS、Buffalo Technology、Cisco Linksys、D-Link、Microsoft、Panasonic、Synologyなどです。
報告書はまた、ORBネットワークがしばしば複数の脅威アクターによって別々のキャンペーンで使用されていることを強調しました。LapDogsの場合、SecurityScorecardは、台湾に対するサイバー諜報活動でUAT-5918として追跡されている脅威グループによって少なくとも一度使用されたと述べました。しかし、STRIKEの研究者たちは、UAT-5918がLapDogsの運営者であるのか、ORBネットワークの単なるクライアントであるのかを特定できませんでした。
TLS証明書の悪用
SecurityScorecardは、LapDogsを以前のORBネットワーク活動から区別するいくつかの側面を指摘しました。まず、脅威アクターは「ShortLeash」と名付けられたカスタムバックドアを使用して、侵害されたデバイスへの持続的なアクセスを維持しました。
次に、ShortLeashバックドアは、各ノードに対して偽装されたメタデータを持つユニークな自己署名TLS証明書を生成します。メタデータは、証明書がロサンゼルス警察署(LAPD)によって署名されたものとして提示され、脅威アクターが感染したノードを正当なLAPDネットワークデバイスとして偽装しようとしていることを示唆しています。これがSecurityScorecardの「LapDogs」というニックネームの由来です。
しかし、LAPDを偽装する特定の理由があったのかどうかは不明です。SecurityScorecardのセキュリティ研究者であるGilad F. Maizlesによれば、「これはオペレーターによる内輪のジョークかもしれません。中国のAPTでは珍しくありません」と述べています。「ロサンゼルス地域でいくつかの侵害されたデバイスを観察しましたが、それらはネットワークで最初でも最も目立つものでもありませんでした。また、LAPD自体を直接ターゲットにしたり侵害したりした証拠は見つかりませんでした。」
自己署名証明書は、第三者の証明機関によって検証されないため、しばしばセキュリティリスクと見なされます。多くのシステムやソフトウェアは、信頼チェーン内に自己署名証明書が存在する場合に警告や警報を発します。
しかし、警告は必ずしも認識されず、自己署名証明書に関するベストプラクティスは、ベンダー自身でさえ常に守られているわけではありません。
「私たちが遭遇したデバイスの多く(例えばRuckus WirelessデバイスやBuffalo Tech AirStationなど)は、構成インターフェースとして使用され、インターネットから外部で閲覧可能な組み込みWebサーバーを持っています」とMaizlesは言います。「これらのWeb UIサーバーは、ほとんどの場合、デバイス自体によって生成された自己署名証明書を使用していました。自己署名証明書をターゲットにした警報やルールは、正当なアクセスがWeb UIサーバーに試みられるたびにトリガーされるため、これらのデバイスへのアクセスに関するルールや警報は、自己署名証明書に関して無視されるかホワイトリストに登録される可能性が高いです。」
Maizlesは、これが部分的にORBネットワークやボットネットが通常SOHOデバイスをターゲットにする理由であると述べています。「これらのデバイスは管理が不十分でパッチが当てられていないだけでなく、所有者によってほとんど対処されない低いセキュリティ基準で設計されています。」
SecurityScorecardは、LapDogsの侵害指標を公開しました。これには、偽装されたTLS証明書のネットワークフィンガープリント、C2ドメイン、およびShortLeashバックドアの署名が含まれます。ボットネット防御と同様に、組織は接続されたデバイスを更新し、デフォルトの資格情報を削除する必要があります。ネットワーク管理者はまた、疑わしい接続やトラフィックの流れを監視するべきです。