中国政府で働くハッカーたちは、ハッキングされたルーターやその他のネットワーク機器から構成される既成のネットワークの背後に攻撃を隠しており、米国と複数の同盟国は木曜日にこのように述べた。
いわゆる秘密ネットワークの攻撃者による使用は新しいものではないが、機関が合同警告で述べたように、「中国と結びついたサイバーアクターは現在、戦略的にかつ大規模にそれらを使用している。」
侵害されたネットワーク機器(主にスモールオフィス・ホームオフィス(SOHO)ルーターだが、IoTデバイスも含む)を通じて活動をフィルタリングすることで、ハッカーは自分たちの起源を隠蔽し、防御者が偵察、マルウェア配備、データ流出を検出するのを難しくすることができる。
中国と関連するハッカーは、数百のマルウェア感染デバイスを含むKVボットネットを米国の重要インフラへの「ボルト台風」攻撃に、200,000を超えるデバイスを含むラプタートレインボットネットを台湾への「フラックス台風」攻撃に使用した。司法省の作戦はこれら両方のボットネットを、感染したデバイスからハッカーのマルウェアを削除することで破壊した。
中国と関連する別のSOHOボットネットは日本と台湾に対する「大規模で長期にわたる侵入作戦」を支援していたとのことで、これは2025年6月のレポートによるもので、SecurityScordardはそのボットネットをLapDogと呼んだ。
新しい勧告によると、米国とその同盟国は、中国のサイバーセキュリティ企業が北京の使用のために秘密ネットワークを構築・維持していることの証拠を持っている。
サイバーセキュリティ・インフラストラクチャセキュリティ庁、FBI、NSA、国防総省サイバー犯罪センターは、オーストラリア、カナダ、ドイツ、日本、オランダ、ニュージーランド、スペイン、スウェーデンのサイバーセキュリティと情報機関と共に警告を発表した。
ルーターハッキングの狂乱
他の政府もボットネットを使用してサイバー攻撃を偽装してきた。4月に、FBIはロシアの軍事情報機関が政府および重要インフラ組織をハッキングするために使用していたSOHOルーターからマルウェアを削除した。
ルーターのセキュリティ脆弱性に対する懸念が非常に強まり、3月に連邦通信委員会は外国製ルーターの輸入を禁止した。これらのデバイスはサプライチェーンリスクが大きすぎると述べた。4月中旬に、FCC特定のNetgearルーターを禁止から除外した。
防御者ができることは何か
インターネット接続デバイスが秘密ネットワークの一部にならないようにするために、勧告によると、セキュリティプロフェッショナルはネットワークをマッピングし、通常の接続がどのようなものかについて明確な理解を開発し、ボットネットに関する脅威インテリジェンスを参照し、リモート接続に多要素認証を使用することを要求する必要がある。
勧告によると、高リスク組織は、IPホワイトリストと他のアクセスコントロールを使用して外部接続を制限し、SSL証明書を必須にし、ネットワークをセグメント化し、その他の方法でゼロトラストの原則を適用することを検討する必要がある。
「特定の脅威グループが、潜在的に数十万のエンドポイントを持つ多くの秘密ネットワークの1つから、および複数の脅威アクターによって使用される場合、静的な悪意のあるIPブロックリストの古いネットワーク防御パラダイムは効果的でなくなるだろう」と勧告は警告した。「これはこれらのネットワークの動的な性質によってさらに複雑になり、古いデバイスがパッチを適用されたり使用から削除されたりするにつれて新しいノードが追加される。」
翻訳元: https://www.cybersecuritydive.com/news/china-botnets-cyberattacks-covert-networks-advisory/818309/
