Salt Typhoonとして知られる中国の国家支援型ハッカーグループが、2024年に米陸軍州兵のネットワークに9か月間侵入し、発見されることなくネットワーク構成ファイルや管理者認証情報を盗み出しました。これらは他の政府ネットワークを侵害するために利用される可能性があります。
Salt Typhoonは中国国家安全部(MSS)情報機関と関係があると考えられている中国の国家支援型ハッカーグループです。このグループは過去2年間、世界中の通信事業者やブロードバンドプロバイダーに対する一連の攻撃で悪名を高めており、AT&T、Verizon、Lumen、Charter、Windstream、Viasatなどが含まれます。
これらの攻撃の目的の一部は、米国政府が使用する機密の通話記録、プライベート通信、法執行機関の盗聴システムへのアクセスを得ることでした。
州兵ネットワークが9か月間侵害される
6月11日の米国国土安全保障省(DHS)のメモによると、最初にNBCが報道したように、Salt Typhoonは2024年3月から12月までの9か月間、米国のある州の陸軍州兵ネットワークに侵入していました。
この間、ハッカーはネットワーク図、構成ファイル、管理者認証情報、そして他州の州兵や政府ネットワークを侵害するために利用可能な隊員の個人情報を盗み出しました。
「2024年3月から12月の間、Salt Typhoonは米国のある州の陸軍州兵ネットワークを広範囲にわたり侵害し、他にもネットワーク構成や、他の全米州および少なくとも4つの米領土とのデータ通信を収集した」とメモには国防総省(DOD)の報告を引用して記されています。
「これらのデータには、これらネットワークの管理者認証情報やネットワーク図も含まれており、これがSalt Typhoonによる後続の侵害を容易にする可能性があります。」
メモはさらに、Salt Typhoonが過去に盗んだネットワークトポロジーや構成ファイルを利用して、重要インフラや米国政府機関を侵害したことがあると述べています。
「Salt Typhoonは、流出させたネットワーク構成ファイルを他の場所でのサイバー侵入に利用したことがある」とメモは続けています。
「2024年1月から3月の間に、Salt Typhoonは他の米国政府および重要インフラ組織に関連する構成ファイルを流出させており、これには少なくとも2つの州政府機関が含まれます。これらファイルのうち少なくとも1つは、後に別の米国政府機関ネットワーク上の脆弱なデバイスの侵害に利用されました。」
ネットワーク構成ファイルには、ルーター、ファイアウォール、VPNゲートウェイなどのネットワーク機器に設定された設定、セキュリティプロファイル、認証情報が含まれます。この情報は攻撃者にとって非常に価値があり、通常インターネット経由ではアクセスできない他の機密ネットワークへの経路や認証情報を特定するために利用されます。
DHSは、2023年から2024年にかけてSalt Typhoonが12の分野にわたる約70の米国政府および重要インフラ組織に関連する1,462件のネットワーク構成ファイルを盗んだと警告しています。
Salt Typhoonがどのようにして州兵ネットワークに侵入したかは明らかにされていませんが、Salt TyphoonはCiscoルーターなどのネットワーク機器の古い脆弱性を狙うことで知られています。
DHSのメモは、Salt Typhoonが過去にネットワーク侵害に利用した以下の脆弱性を共有しています:
- CVE-2018-0171: Cisco IOSおよびIOS XE Smart Installの重大な脆弱性で、特別に細工されたTCPパケットによりリモートコード実行が可能。
- CVE-2023-20198: Cisco IOS XEのWeb UIに影響するゼロデイで、認証なしでリモートからデバイスにアクセス可能。
- CVE-2023-20273: IOS XEを標的とした権限昇格の脆弱性で、攻撃者がroot権限でコマンドを実行可能。この脆弱性はCVE-2023-20198と組み合わせて永続化に利用された例あり。
- CVE-2024-3400: Palo Alto NetworksのPAN-OS GlobalProtectにおけるコマンドインジェクションの脆弱性で、認証なしの攻撃者がデバイス上でコマンドを実行可能。
DOHはまた、上記の脆弱性を悪用する際にSalt Typhoonが使用した以下のIPアドレスも共有しています:
43.254.132[.]118
146.70.24[.]144
176.111.218[.]190
113.161.16[.]130
23.146.242[.]131
58.247.195[.]208過去の攻撃では、ハッカーは通信事業者の環境でパッチ未適用のCiscoルーターを悪用してインフラにアクセスし、このアクセスを利用して米国の政治キャンペーンや議員の通信を監視していました。
これらの攻撃の一環として、脅威アクターはJumblePathやGhostSpiderといったカスタムマルウェアを展開し、通信ネットワークを監視していました。
DHSのメモは、州兵および政府のサイバーセキュリティチームに対し、これらの脆弱性にパッチが適用されていることを確認し、不要なサービスの停止、SMBトラフィックの分離、SMB署名の実装、アクセス制御の強化を推奨しています。
州兵局の広報担当者はNBCに対し侵害を認めましたが、詳細は明かさず、連邦や州の任務に支障はなかったと述べました。
ワシントンの中国大使館はこの攻撃を否定しませんでしたが、米国がSalt Typhoonと中国政府との関連を示す「決定的かつ信頼できる証拠」を提供していないと述べました。
2025年における8つの一般的な脅威
クラウド攻撃がますます高度化している一方で、攻撃者は驚くほど単純な手法でも成功しています。
Wizが数千の組織で検知したデータから、本レポートではクラウドに精通した脅威アクターが用いる8つの主要な手法を明らかにします。