中国のテック企業に関連するグローバルなSalt Typhoonハッキングキャンペーン

米国家安全保障局（NSA）、英国国家サイバーセキュリティセンター（NCSC）、および十数か国以上のパートナーは、Salt Typhoonによるグローバルなハッキングキャンペーンが中国拠点の3つのテクノロジー企業に関連していると発表しました。

共同勧告によると [NSA, NCSC]、四川聚信合网络科技有限公司、北京寰宇天穹信息科技有限公司、四川智信瑞杰网络科技有限公司は、中国国家安全省および中国人民解放軍にサイバー製品やサービスを提供し、Salt Typhoonとして追跡されるサイバースパイ活動を可能にしていました。

少なくとも2021年以降、中国の脅威アクターは世界中の政府、通信、交通、宿泊、軍事ネットワークに侵入し、標的の通信や移動を追跡するために利用できるデータを窃取してきました。

特にここ数年、Salt Typhoonは通信企業に対する組織的な攻撃を行い、世界中の個人のプライベートな通信をスパイしてきました。

BleepingComputerはこれらの主張について中国大使館に問い合わせており、回答があれば記事を更新します。

ネットワーク機器を標的に

13か国のサイバー・情報機関による共同勧告では、脅威アクターがゼロデイに頼るのではなく、広く知られ修正済みのネットワークエッジデバイスの脆弱性を悪用して「かなりの成功」を収めていると警告しています。

これらの脆弱性には以下が含まれます：

これらの脆弱性を利用して、脅威アクターはルーティングおよびネットワーク機器へのアクセスを獲得し、アクセス制御リストの変更、非標準ポートでのSSH有効化、GRE/IPsecトンネルの作成、Cisco Guest Shellコンテナの悪用による永続化を行います。

「APTアクターは、特定のデバイスの所有者に関係なくエッジデバイスを標的にする可能性があります」と共同報告書は説明しています。

「アクターの主要な標的と一致しない組織が所有するデバイスであっても、標的への攻撃経路として利用できる機会が存在します。アクターは、侵害されたデバイスや信頼された接続、プライベートな相互接続（例：プロバイダー間またはプロバイダーと顧客間のリンク）を活用して他のネットワークへとピボットします。」

また、認証トラフィックのパケットキャプチャを収集し、TACACS+サーバーをリダイレクトし、カスタムのGolangベースSFTPツール（「cmd1」「cmd3」「new2」「sft」）を展開してトラフィックを監視し、データを窃取していました。

これらの脆弱性の多くにはすでに修正が提供されているため、NCSCとNSAは組織に対し、まずデバイスのパッチ適用を優先し、その後デバイス設定の強化、不正な変更の監視、未使用サービスの停止を推奨しています。

また、管理者は管理サービスを専用ネットワークに制限し、SSHv2やSNMPv3などの安全なプロトコルを強制し、必要のない場合はCisco Smart InstallやGuest Shellを無効化することも推奨されています。

CISAは以前から警告しており、管理者はレガシーのCisco Smart Install（SMI）機能を、攻撃で中国やロシアの脅威アクターに悪用されていることを受けて無効化すべきだとしています。

また、管理者は、キャンペーンがステルス性の高いゼロデイではなく既知の脆弱性を利用しているため、積極的に侵害の兆候を調査することも推奨されています。

今回の新たな勧告は、Salt Typhoonによる通信事業者や政府機関への数年にわたる攻撃を受けたものです。

同グループは以前、AT&T、Verizon、Lumenなど米国の大手通信事業者に侵入し、テキストメッセージやボイスメール、さらには米国法執行機関の盗聴システムなどの機密通信にアクセスしていました。

脅威アクターは、JumbledPathとして知られるカスタムマルウェアを使用し、通信ネットワークのトラフィックを監視・取得していました。

通信事業者への侵害に加え、Salt Typhoonは2024年に米陸軍州兵ネットワークへの9か月間の侵害にも関与しており、その間に他の政府ネットワークへの侵害に利用可能な設定ファイルや管理者認証情報を窃取していました。