米国および国際政府機関は木曜日、中国のハッカーによる方法の「広範な転換」について警告を発し、一般的なデバイスを侵害して様々な攻撃を実行する大規模な秘密ネットワークの使用へ向かっていることを明かした。
このアドバイザリーは、これらのネットワークがどのように機能するか、および組織が取るべき防御措置についての詳細を説明している。
「過去数年の間に、中国関連のサイバーアクターが使用する戦術、技術、手順(TTP)に大きな転換がありました。個別に調達されたインフラストラクチャの使用から離れて、外部からプロビジョニングされた大規模な侵害されたデバイスのネットワークの使用へと向かっています。」と警告は述べている。
英国国家サイバーセキュリティセンター、サイバーセキュリティおよびインフラストラクチャセキュリティ庁、国家安全保障局、FBI、およびオーストラリア、カナダ、ドイツ、オランダ、ニュージーランド、日本、スペイン、スウェーデンの機関がこのアドバイザリーで協力した。
「複数の秘密ネットワークが作成されており、常に更新されており、単一の秘密ネットワークが複数のアクターによって使用されている可能性があります。これらのネットワークは主に、侵害されたスモールオフィスホームオフィス(SOHO)ルーターおよびインターネットオブシングス(IoT)デバイス、スマートデバイスで構成されています。」と述べている。
さらに「秘密ネットワークは、低コスト、低リスク、否定可能な方法でインターネット全体に接続するために使用され、悪意のある活動の起源と帰属を隠します。」と続けている。
中国の情報セキュリティ企業がこれらのネットワークを作成し、サポートしているという証拠が示唆されていると機関は述べている。ハッカーはネットワークを偵察、マルウェア配信、情報窃取に使用していると述べられている。
秘密ネットワークの使用例には、米国の重要インフラに事前配置するためのVolt Typhoonとして知られるグループの活動、およびサイバースパイ活動を実行するためのFlax Typhoonの活動が含まれる。
秘密ネットワークの例は、世界中で200,000台のデバイスに感染したRaptor Trainボットネットである。これらのネットワークは大規模で、絶え間なく進化しており、新しいものが絶え間なく開発されている。
今週のスピーチで、NCSC CEO Richard Horneは「中国の情報機関と軍事機関は現在、サイバー作戦において目を見張るほどの洗練度を示していることがわかっています。」と述べた。
アドバイザリーによると、秘密ネットワークに対する防御は「簡単」ではないが、一般的な優れたサイバーセキュリティ慣行の様々なものを含んでいる。最も規模が大きく、リスクが最も高い組織は、秘密ネットワークの能動的なハンティング、追跡、マッピングに従事し、脅威レポーティングを使用してブロックリストを作成するなどの対策を講じるべきである。
「米国および国際的なパートナーと緊密に協力し、CISAは重要インフラを脅かす中国国家が後援するサイバーアクターについて組織に警告し続けています。」とCISA代理ディレクターNick Andersenは木曜日に述べた。「このアドバイザリーは、これらのアクターが悪意のあるサイバー活動のために、戦略的に多数の進化する秘密ネットワークを大規模に使用する方法について組織に通知するものです。」
翻訳元: https://cyberscoop.com/china-nexus-covert-networks-advisory/
