「Salt Typhoon(ソルト・タイフーン)」および「Volt Typhoon(ボルト・タイフーン)」として知られる中国のハッキンググループによる大規模なサイバー侵入により、FBIは高度な脅威を追跡する手法を変更せざるを得なくなったと、FBIのサイバー部門の幹部が水曜日に述べました。
米国当局、同盟国政府、脅威研究者らは、Salt Typhoonを、昨年秋に明らかになった大規模な通信ハッキングの背後にいるグループと特定していますが、この攻撃は何年も前から続いていた可能性があります。調査官らは、Volt Typhoonが重要インフラに侵入し、中国が台湾に侵攻し米国が介入した場合に米国内で混乱を引き起こすことを目的としているグループであると指摘しています。
これらのハッキングは過去よりもさらにステルス性が高く、より忍耐強いものであったと、FBIサイバー部門副部長のジェイソン・ビルノスキー氏は述べています。タイフーン各グループは持続的なアクセスに重点を置き、システム内の正規ツールを利用して活動を隠す「リビング・オフ・ザ・ランド」手法を駆使することで、侵入の隠蔽が巧妙になっているといいます。その結果、FBIによる侵害の痕跡(IOC)の共有も複雑化しています。
「今や、彼らがすでにネットワーク内にいるかのように捜索しなければならず、これまでとは異なる方法で追跡しています」と同氏はビリントン・サイバーセキュリティ・サミットで語りました。「彼らはもはや、私たちが以前見ていたようなツールやマルウェアを残していませんし、場合によっては共有できるIOCもあまり多くありません。」
以前のハッカーたちは「騒がしかった」、つまり標的を素早く攻撃し、データを盗み出してすぐに逃走する傾向があったとビルノスキー氏は述べています。しかし現在、国家支援を受けた攻撃者については、「戦術、技術、手順において飛躍的な進歩が見られる」と語りました。
サイバーセキュリティ・インフラストラクチャーセキュリティ庁の脅威ハンティング担当副局長ジャーメイン・ローバック氏も、巧妙なハッカーによるステルス性のレベルの変化に加え、「意図や標的の大きな変化」も見られると述べました。
「ここ数年はスパイ活動が多く見られましたが、最近では明らかにコンピュータネットワーク攻撃、事前配置、あるいは妨害といった能力へのシフトが起きています」と同じ会議で語りました。
政府機関を含む組織がクラウドへ移行したことで、標的も変化しています。「さて、どうなったと思いますか?」と彼は問いかけました。「攻撃者たちもクラウドに向かっているのです。」
また、ローバック氏によると、攻撃者たちは仮想プライベートネットワーク接続やマネージドサービスプロバイダーが提供するその他のサービスを担う「エッジデバイス」にも注目しているといいます。これらのデバイスやプロバイダーが直面している攻撃については、より直接的な侵入に比べて組織側の把握が難しいとも述べました。
翻訳元: https://cyberscoop.com/chinas-typhoons-changing-the-way-fbi-hunts-sophisticated-threats/