TokyoBlackHatNews

gbhackers.com 4分で読了

ORBネットワークが侵害されたIoTデバイスとSOHOルーターを利用してサイバー攻撃を隠蔽

オペレーショナル・リレー・ボックス(ORB)ネットワークは、高度な脅威アクターがサイバー攻撃の真の発信源を隠すために使用する秘密のメッシュベースのインフラストラクチャです。

侵害されたモノのインターネット(IoT)デバイス、スモールオフィス/ホームオフィス(SOHO)ルーター、およびレンタルされた仮想プライベートサーバー(VPS)から構築されたこれらのネットワークは、悪意のあるトラフィックを正規のユーザーアクティビティと混在させるプライベートな住宅用プロキシシステムのように機能します。

ORBネットワークでは、トラフィックは標的に到達する前に複数の中継ノードを経由してホップし、ほとんどの接続は中継ボックス自体の間で発生します。

Team Cymruの研究者は、ORBが中国系のスパイ活動グループによってますます使用されており、時間の経過とともに他のアクターによってより広く採用されると予想されていると指摘しています。

出口ノードを常に回転させることで、多くの場合、通常の家庭用ブロードバンド顧客に属するように見えるIPアドレスを使用することで、攻撃者は強力な匿名性を実現し、防御者が実際のユーザーやビジネスへの巻き添え被害のリスクなしに攻撃トラフィックを追跡したり確実にブロックしたりすることを極めて困難にします。

ORBネットワークのサイバー攻撃戦略

この設計により、ORBは高い回復力を持っています。1つのノードが露出またはブロックされた場合、別の侵害されたルーター、IoTデバイス、またはVPSによって迅速に置き換えることができ、キャンペーンを数か月間継続することができます。

Team Cymruによるシンガポールの通信セクターの最近の分析は、これらのネットワークが現実世界でどのように運用されているかを示しています。

Pure Signal Scoutプラットフォームを使用して、Team Cymruは過去90日間に4つの主要なシンガポールISP(M1、SIMBA Telecom、Singtel、StarHub)で最大12個のユニークなORBタグ付きIPを特定し、同期間にシンガポール全体で最大44個のORBタグ付きIPを特定しました。

これらのORBノードの多くは、AWS、Vultr、その他の地域ネットワークなどのクラウドおよびホスティングプロバイダーに属するインフラストラクチャでホストされており、攻撃者が侵害されたSOHOルーターとVPSベースの中継を混在させる方法を示しています。

NetFlowベースのテレメトリーはさらに、過去30日間に42個のユニークなORB IPが4つの通信事業者と通信していたことを明らかにし、これらのISP上の62個のユニークなIPがORBノードと会話していたことを示し、その大部分はD-LinkとAsusルーターとしてタグ付けされていました

このORB活動は、中国系グループUNC3886によるより広範なスパイ活動キャンペーンと一致しており、シンガポールは史上最大の複数機関によるサイバー作戦であるOperation CYBER GUARDIANを通じてこれを阻止しました。

緩和策

CSAとIMDAは、UNC3886がゼロデイを悪用して4つの主要通信事業者すべてで境界ファイアウォールをバイパスし、ネットワークの一部へのアクセスを取得し、主にネットワーク関連の限られた量の技術データを流出させたと報告しました。

Mandiantは以前、UNC3886をJuniperルーターおよびその他のエッジデバイス上のカスタムTINYSHELLベースのバックドアと関連付けており、通信および重要インフラストラクチャへの長期的で秘密裏のアクセスに対するグループの焦点を強調しています。

そのJuniperキャンペーンでは、M1やStarHubなどのローカルプロバイダーに関連するシンガポールベースのいくつかのIPがステージングノードとして特定され、後に研究者によってGOBRAT ORBネットワークの一部として評価されました。

シンガポールは、ルーターおよび消費者デバイスのセキュリティに焦点を当てた異例に厳格な国家対策で対応しました。

情報通信メディア開発庁のTS RG-SEC仕様では、現地で販売される住宅用ゲートウェイが「デフォルトで安全」であることが求められており、保証期間中または製品寿命終了と宣言されるまで自動セキュリティアップデートが含まれます。

CSAのサイバーセキュリティラベリングスキーム(CLS)は、目に見えるセキュリティ「衛生評価」を追加し、ルーターは販売前にCLSレベル1の一意のデフォルトパスワード、脆弱性開示ポリシー、および継続的なソフトウェアサポートを必要とします。

しかし、レガシーギャップが残っています。数百万台の古いまたは輸入されたルーターがこれらの保護の範囲外にあり、依然として静かにORBネットワークに吸収され、UNC3886が実行するような長期的なスパイ活動キャンペーンの匿名化発射台として再利用される可能性のあるデバイスのプールが残っています。

翻訳元: https://gbhackers.com/iot-devices-and-soho-routers/

ソース: gbhackers.com
#IoTデバイス侵害 #ORBネットワーク #SOHO ルータ脆弱性 #UNC3886 #サイバースパイ活動 #シンガポール サイバー作戦 #ゼロデイ脆弱性 #ボットネット #中国系脅威グループ #通信事業者攻撃

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚