中国の国家支援型ハッカーが、ある州の陸軍州兵部隊のネットワークに侵入し、構成情報を収集し、他部隊との通信を傍受していたことが国防総省の報告書で明らかになりました。
この国家支援型の脅威アクターは、Salt Typhoonとして追跡されており、以前には米国の通信大手AT&TやVerizon、Lumen Technologies、米国内外の他のサービスプロバイダーをハッキングした疑いが持たれ、盗聴システムを侵害したとされています。
先月、カナダサイバーセキュリティセンターとFBIは、このAPTがカナダの通信事業者も標的にし、通話記録やプライベートな通信を盗み出していたと警告しました。
NBCニュースが入手した6月の報告書によると、国防総省はSalt Typhoonが米国のある州の陸軍州兵ネットワークを侵害し、他部隊や州レベルのサイバーセキュリティパートナーのネットワークへのハッキングを容易にする貴重な情報を入手したと警告しています。
「このハッキングを実行した中国関連のサイバーアクターが後者にも成功した場合、危機や紛争時に中国のサイバー攻撃キャンペーンから米国の重要インフラを防御する州レベルのサイバーセキュリティパートナーの能力が大きく損なわれる可能性があります」と報告書は述べています。
国防総省によれば、Salt Typhoonは2024年3月から12月の間に侵害されたネットワークへアクセスし、構成情報を流出させ、米国の他のすべての州および少なくとも4つの米領土の「カウンターパートのネットワーク」とやり取りされたデータを収集しました。
「このデータには、これらネットワークの管理者認証情報やネットワーク図も含まれており、これら部隊へのさらなるSalt Typhoonによるハッキングを容易にする可能性があります」と国防総省は述べています。
報告書によると、2024年1月から3月の間に中国のハッカーは、他の米国政府機関や重要インフラ組織(少なくとも2つの州政府機関を含む)の構成ファイルを盗み出しました。
広告。スクロールして記事の続きをお読みください。
2023年と2024年に、国防総省によれば、Salt Typhoonはエネルギー、通信、輸送、水・廃水など12分野にわたる約70の米国政府および重要インフラ組織から合計1,462件のネットワーク構成ファイルを盗み出しました。
初期アクセスのために、ハッカーはCiscoやPalo Alto Networksのエッジデバイスの既知の脆弱性(CVE-2018-0171、CVE-2023-20198、CVE-2023-20273、CVE-2024-3400など)を悪用したと報告されています。
国防総省によれば、州兵ネットワークの侵害は、重要インフラをサイバー攻撃から守るための地域の取り組みを損なう可能性があります。なぜなら、14州の州兵部隊が脅威インテリジェンスを担当するセンターと統合されており、ある州の部隊はサイバー防御サービスを提供しているためです。
「これらの州の陸軍州兵ネットワークへのSalt Typhoonのアクセスには、州のサイバー防御態勢や、州のサイバーセキュリティ担当者の個人識別情報(PII)、勤務場所などの情報が含まれる可能性があり、今後のサイバー標的化活動に利用される恐れがあります」と報告書は述べています。
関連記事: Salt Typhoonが新たな通信ハッキングで古いCisco脆弱性を標的に
関連記事: 中国、Volt Typhoonによる米国重要インフラへのサイバー攻撃を認める:報告
翻訳元: https://www.securityweek.com/chinas-salt-typhoon-hacked-us-national-guard/