出典:Panther Media Global(Alamy Stock Photo経由)
サイバーセキュリティ・インフラセキュリティ庁(CISA)、FBI、国家安全保障局(NSA)を含む世界中の政府機関は、水曜日に中国の「グローバル諜報システム」について警告する新たな勧告を発表しました。
この勧告では、Salt Typhoonを含む国家支援の脅威アクターが世界中のネットワークにどのように侵入しているか、また防御側が自らの環境をどのように保護できるかが詳述されています。この文書には、カナダ、オーストラリア、ニュージーランド、英国、チェコ共和国、フィンランド、ドイツ、イタリア、日本、オランダ、ポーランド、スペインなどの国々も署名しています。
この勧告は、これらの活動クラスターを複数の高度持続的脅威(APT)に関連付けていますが、Salt Typhoonと部分的に重複しているとしています。Salt Typhoonは、昨年米国で発見されたものを含む、世界の通信インフラに対する悪名高い攻撃でよく知られていますが、中国支援の脅威アクターは近年、組織をスパイ活動だけでなく、将来の攻撃に備えた事前配置の標的にもしています。
CISAの共同勧告は、これらの攻撃がどのように行われるかの技術的な詳細に踏み込み、中華人民共和国(PRC)のサイバー作戦に関するこれまで知られていなかった洞察も含まれています。
Salt Typhoon(および類似のグループ)がネットワークを標的にする方法
勧告によると、これらのPRC関連の脅威アクターは、通信、政府、運輸、宿泊、防衛分野のネットワークを標的としており、多くの場合、大規模なバックボーンルーター、プロバイダーや顧客のエッジルーター、侵害されたデバイス、信頼された接続を利用して他のネットワークへ移動しようとします。さらに、「これらのアクターはしばしばルーターを改変し、ネットワークへの持続的かつ長期的なアクセスを維持します。」
2021年まで遡る活動を追跡したところ、これらの脅威アクターは「公に知られている脆弱性を悪用することでかなりの成功を収めている」が、現時点でゼロデイの悪用は観測されていないとしています。注目すべき脆弱性には、Ivanti Connect SecureおよびIvanti Policy Secure Webコンポーネントのコマンドインジェクション脆弱性CVE-2024-21887、Palo Alto Networks PAN-OS GlobalProtect OSコマンドインジェクション脆弱性CVE-2024-3400、およびCisco IOS XE脆弱性CVE-2023-20273、CVE-2023-20198、CVE-2018-0171などがあります。
これらすべての脆弱性には対策が用意されており、防御側は脅威アクターが頻繁に標的とするため、優先的に対応するよう求められています。
APTがルーターや類似技術に注力しているにもかかわらず、勧告では「作成機関はAPTアクターが他のデバイス(例:Fortinetファイアウォール、Juniperファイアウォール、Microsoft Exchange、Nokiaルーターおよびスイッチ、Sierra Wirelessデバイス、Sonicwallファイアウォール等)を標的にする可能性があると疑っている」と指摘しています。
持続性を維持するため、APTは複数の戦術を用いており、アクセス制御リスト(ACL)の改変によるIPアドレスの追加、標準および非標準ポートの開放、SSHサーバーの有効化、ネットワーク機器の外部向けポートの開放、プロトコルを用いたトンネルの作成、ネットワーク上の他のデバイスの設定の列挙や変更などを行います。
横方向移動を容易にするための戦術も同様に多岐にわたり、侵害されたルーターを通じて認証情報を含むネットワークトラフィックを取得することから、弱い認証情報の総当たり攻撃まで含まれます。
「初期アクセス後、APTアクターは認証に関与するプロトコルやインフラ(例:TACACS+)を標的とし、しばしばSNMP列挙やSSHを通じてネットワーク機器間で横方向移動を行います。これらのデバイスから、APTアクターは特定のISP顧客ネットワークからパケットキャプチャ(PCAP)を受動的に収集します。」と勧告には記されています。
台風(Typhoon)への対策
これらの脅威に対処するため、作成機関は幅広い推奨事項を提示しています。勧告によれば、「本勧告で説明されている悪意ある活動は、APTアクターが複数のアクセス手段を維持しながらネットワークに持続的かつ長期的にアクセスすることが多いため、推奨事項も広範囲に及びます。」
これらのAPTに対抗するため、防御側はネットワーク機器の設定変更を監視し、仮想化コンテナの改ざんの兆候(およびすべてのコンテナが認可されていること)を監視し、ネットワークサービスやトンネルを監査し、アクターが好むプロトコルパターンを探索し、ログを確認し、ファームウェアやソフトウェアの整合性を監視する必要があります。勧告には侵害の指標も含まれています。
Bugcrowdのチーフストラテジー&トラストオフィサーであるTrey Ford氏は、この勧告によりCISAのような機関が「非常に公の場で中国の活動を暴露し、進行中の標的型作戦のコストと運用負担を引き上げようとしている」と述べています。
マネージド検知・対応(MDR)ベンダーDeepwatchのサイバーセキュリティ有効化ディレクターであるFrankie Sclafani氏は、CISAの勧告が緊急性を持つ理由について、中国の国家支援活動が純粋なスパイ活動からより侵襲的なものへと「重大な転換」を遂げたことを強調しているからだと述べています。
「単なるスパイ活動だけでなく、Salt Typhoonのようなグループは今や世界中の重要インフラネットワークに深く潜り込んでいます。これは単にデータを盗むだけでなく、将来的な妨害のための長期的なアクセスを得ることが目的です」とSclafani氏はDark Readingに語ります。「CISAは政府機関全体にわたる独自の立場とパートナーシップを持っているため、これらのグローバルな脅威について広範な知見を持っています。中国のAPT活動が高度化している今、この勧告は組織に対して推奨される対策を直ちに実施し、システムを保護するための重要な警鐘となっています。」