中国の支援を受ける脅威アクターは、諜報活動を行う際に優位に立つため、オペレーショナル・リレー・ボックス(ORB)として知られるプロキシネットワークへの依存を強めていると、Mandiantは観測している。
この攻撃手法により、これらの高度持続的脅威(APT)グループは、検知を回避し帰属特定を困難にすることで、企業ネットワーク防御のコストを引き上げ、優位性を諜報オペレーター側へと移すことができる。
5月22日に公開されたレポートで、Google傘下のMandiantは、悪名高いVolt Typhoonを含む中国の国家支援グループが、サイバー諜報キャンペーンを展開するためにORBネットワークをどのように活用しているかを説明した。
サイバー攻撃でORBがどのように利用されるか
サイバー諜報の領域において、オペレーショナル・リレー・ボックス(ORB)ネットワークは、情報機関が用いる秘密裏のシステムである。
ボットネットと同様に、ORBネットワークは、仮想プライベートサーバー(VPS)、モノのインターネット(IoT)機器、スマートデバイス、ルーターなど、侵害されたデバイスで構成されるメッシュネットワークである。これらのデバイスがORBネットワークのノードを形成する。
これらのデバイスは世界中に散在し、情報機関やサイバー諜報グループのプロキシとして使用され、実質的に秘密の前哨拠点へと変えられる。
MandiantはORBネットワークを、基本的に次の2種類に分類している。
- プロビジョンド(提供型)ネットワークは、商用にリースされた仮想プライベートサーバー領域で構成され、ORB管理者によって運用される(例:ORB3、またはSPACEHOP。中国の情報機関が管理)
- ノンプロビジョンド(非提供型)ネットワークは、多くの場合、侵害された寿命末期のルーターやIoTデバイスで構成される(例:ORB1、またはORBWEAVERとORB2、またはFLORAHOX)
また、ORBが、リースされたVPSデバイスと侵害デバイスの両方を組み合わせたハイブリッドネットワークである可能性もある。
ORB管理者は、特定の国のインターネット基盤への露出や依存を減らすため、世界各地の自律システム番号(ASN)プロバイダーに依存している。
ASNは、共通のルーティングポリシーを共有し、単一の管理主体によって運用される、インターネット上の固有のネットワークまたはネットワーク群を識別する。ほとんどのASNはネットワーク事業者(インターネットサービスプロバイダー、モバイルネットワーク事業者など)に割り当てられるが、研究機関、軍事組織、大学なども固有のASNを持つ。
ORBはネットワークインターフェースを作成し、侵害ノードのネットワークを管理し、それらのネットワークへのアクセスを複数のAPTアクターに提供する契約を結ぶ。APTアクターはORBネットワークを用いて、それぞれ独自の諜報および偵察を実行する。
これらのネットワークはAPTアクターによって制御されるのではなく、むしろ一時的に利用されるものであり、しばしば既知の中国系(China-nexus)攻撃者により通常は帰属し得るカスタムツールを展開するために使われる。
中国のハッカーがORBを使用する理由
サイバー諜報アクターによるORBネットワークの利用自体は新しいものではないが、中国系(China-nexus)の多数の諜報アクターによる一般的な利用は、近年より一般的になっている。
これらのメッシュネットワークを用いて諜報活動を行うことで、脅威アクターは、コマンド&コントロール(C2)基盤と被害環境の間の外部トラフィックを偽装できる。これには、ゼロデイ脆弱性を介して悪用される脆弱なエッジデバイスも含まれる。
Mandiantは、敵対者が制御するオペレーションサーバー(ACOS) およびリレーノードが、最も一般的には中国関連および香港拠点のIP空間でホストされていると指摘した。残りのノードは地球上の別の場所に配置され得る。
レポートでMandiantの研究者は、これは、検知を回避し帰属特定を困難にすることで、企業ネットワーク防御のコストを引き上げ、優位性を諜報オペレーター側へと移すための取り組みである、との評価を中程度の確度で示した。
ORBネットワークの世界的な分散の例は、MandiantがORB3またはSPACEHOPとして追跡しているものに見られる。これは複数の中国系(China-nexus)脅威アクターによって活用されているアクティブなネットワークである。
世界中に分散したノードを通過するAPT関連トラフィックの量が多いことは、このネットワークが、米国、欧州、中東を含む、観測された出口ノードの地理に同居する幅広い地理的ターゲットを狙っていることを示している。
中国の脅威アクターによるORB利用の増加は、防御側に次の課題をもたらす。
- 脅威アクターがネットワーク基盤を次々に切り替えるため、侵害指標(IOC)がますます役に立たなくなる
- アクターのトラフィックが、典型的に見える地理的発信元から来る可能性があり、警戒すべき兆候を生みにくい
- 複数のアクターが、個別の請負業者などが提供するインフラを共有しているため、ネットワーク基盤に基づく帰属特定は不可能である
ネットワーク防御側が、敵対者インフラをIOCのように扱う現在の企業防御パラダイムから、APTグループに似た進化する存在としてORBを追跡する方向へ転換できれば、企業は脅威環境におけるORBネットワークの増大する課題に対処できると、Mandiantは考えている。
「中国におけるORB産業の台頭は、中国系(China-nexus)のサイバーオペレーターに、より洗練された戦術とツールを備えさせ、企業環境の侵害を促進して、高価値ネットワークへのアクセス獲得および維持の成功率を高めるための長期的投資を示している」とMandiantは述べた。
「防御側がこの課題に立ち向かえるかどうかは、過去15年間APTに対して行われてきたのと同じ深い戦術的焦点を、企業がORBネットワークの追跡にも適用するかにかかっている」と、Mandiantのレポートは結論づけた。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-apt-orb-networks/
