出典:Shutterstock経由GagoDesign
今週、英国の国家サイバーセキュリティセンター(NCSC-UK)は米国および他国のサイバーセキュリティ機関と協力して、中国関連の脅威アクターが侵害されたルーター、IoT、スマートデバイスの秘密ネットワークをますます使用して米国の組織への攻撃を促進していることについて警告した。
証拠は、中国の情報セキュリティ企業がこれらのボットネットの多くを体系的に作成・維持していることを示唆しており、これらはしばしば小規模オフィス・ホームオフィス(SOHO)ルーターで構成されている。
Flax TyphoonやVolt Typhoonなどの中国の脅威グループは、これらのネットワークを使用して偵察を実施し、マルウェアを配信・通信し、「低コスト、低リスク、否定可能な方法で」データを流出させている、と共同勧告は指摘した。
「また、これらは一般的な否定可能なインターネットブラウジングにも使用でき、脅威アクターが帰属性を与えることなく悪用技術、新しいTTP、被害者を調査することを可能にする」と各機関は述べた。「一部の秘密ネットワークは正当な顧客がインターネットをブラウジングするためにも使用されており、悪意のある活動を帰属させることが困難になっている。」
勧告は、攻撃を実行するためのボットネット使用は新しいものではないことをさらに追加している。しかし変わったことは、中国関連の脅威グループがそれらを戦略的に使用し、これまで見たことのないスケールで使用しているということである。
英国の国家サイバーセキュリティセンター(NCSC-UK)によれば、中国支援のアクターは多数のボットネットを作成しており、それらを国の国家支援脅威グループによる使用のために常に更新し、準備状態を保持している。これらのボットネットの作成者・保守者は、新しい秘密ネットワークをプールに常に追加するだけでなく、防御的または法的措置に対応するためにそれらを常に変更しており、複数の中国関連脅威グループが同時に同じボットネットを使用する可能性があるという事実が問題を複雑にしており、これはそれらを識別およびブロックすることを難しくしている。
静的な悪意あるIPブロックを使用するなどのネットワーク防御アプローチは、特定の脅威アクターが多くの秘密ネットワークのいずれかから来る可能性があり、「それぞれが潜在的に数十万のエンドポイントを持ち、複数の脅威アクターによって使用される」場合には効果的ではない、と勧告は述べた。「これは、新しいノードが古いデバイスがパッチされたり使用から削除されたりするにつれて追加される、これらのネットワークの動的な性質によってさらに悪化する。」
ほぼSOHOルーターで構成されるボットネット
中国のアクターが使用している秘密ボットネットの大部分は、侵害されたSOHOルーターで構成されている。しかし、IoTデバイス、ウェブカメラ、ビデオレコーダー、サポート終了ルーター、ファイアウォール、ネットワーク接続ストレージデバイスなどの他の脆弱なエッジテクノロジーを含む可能性もある。
「CISAとそのパートナーは、数年間にわたって構築されてきたトレンド、つまりボットネットの産業化を指摘している」とMerlin GroupのチーフストラテジーオフィサーであるMatthew Hartmanは述べている。「中国のアクターは分業を活用している可能性が高く、一部のグループが多数のSOHOルーターとコンシューマーIoTデバイスを侵害・維持し、その後、そのアクセスを操作のためにハンドオフまたはリースしている。そのモデルはスケールと妥当な否定可能性の両方を増加させる。」
Hartmanは、勧告のタイミングは中国の脅威アクターによるボットネット使用の新しさというより、ボリュームと成熟度の構築に関係がある可能性が高いと述べている。「ロシアとイランのグループは同様の戦術を使用してきたが、中国の操作のスケールとテンポはこれを区別し、協調した勧告を正当化するものである」と彼は述べている。
BeyondTrustのシニアバイスプレジデント兼deputy CISOのBradley Smithは、中国支援の脅威グループが採用した運用モデルが初期アクセスブローカーのモデルと似ていることを述べている。ここでの主な違いは、この活動が国家支援であるということである。「中国のサイバー操作は攻撃インフラストラクチャのためのサプライチェーンモデルを採用している:専任チームまたは契約企業がSOHOルーター、IoTデバイス、エッジ機器の多数のプールを侵害・維持し、その後、ミッション要件に基づいて特定の運用ユニットへのアクセスをプロビジョニングする」と彼は述べている。各段階での専門化(侵害、キュレーション、プロビジョニング、運用使用)は帰属性を難しくし、テイクダウンを効果的でなくする。「1つの運用ユーザーを削除しても、基盤となるインフラストラクチャプールには影響しない」と彼は指摘している。
このアプローチが機能する理由は、攻撃者が標的にしているSOHOデバイスおよびコンシューマーグレードテクノロジーが同じ構造的脆弱性を共有しているためである:デフォルト認証情報、頻繁でないパッチ適用、集中管理がない、自分のデバイスがインターネットに到達可能であることを知らない所有者。実際、外国製ルーターにはこれらの弱点が意図的に含まれる可能性があるという懸念(米国のほぼすべてのSOHOおよびコンシューマーグレードルーターはこのカテゴリに該当する)が、米国政府に最近米国外で製造された新しいルーターモデルの輸入を禁止させた
今週の勧告を発行したNCSCおよび他のサイバー機関は、組織がネットワークエッジデバイスとそれと接続する必要があるすべてのアセットの明確な画像を作成することを推奨している。組織は企業VPNからの接続などの通常の接続をベースラインで設定する一方、コンシューマーブロードバンド範囲からのものなどの異常な接続を監視する必要がある。
より大規模な組織は、地理的なIPアローリストを構築し、オペレーティングシステム、タイムゾーン、構成設定などの要因に基づいて着信接続をプロファイリング、ゼロトラストポリシーを着信接続に実装することを検討すべきである。最もリスクの高い組織は、中国関連APTの活動を積極的に追跡し、脅威狩猟を実施し、業界または政府の脅威インテリジェンスソースが報告する可能性がある秘密ネットワークを追跡・マッピングすることを検討すべきである。
Viakoo LabsのバイスプレジデントであるJohn Gallagherによると、組織が脅威を単に国家支援されたグループからのものと考えないことも重要である。「ここ数年、サイバー犯罪者はボットネット軍隊を「レンタル用」に形成・管理してきた。DDoS攻撃の量と速度の強い成長は、感染したIoTデバイスがどのくらい多いかの直接的なプロキシである」と彼は述べている。国家行為者でない場合でも、サイバー犯罪者はボットネット軍隊から暗号化採掘または認証情報詰め込みなどの目的で利益を得ることができる。「国家が誰であるかに焦点を当てるのではなく、それは犯罪組織と国家の混合である可能性が高い – 組織は「何」と「何をするか」に焦点を当てるべきである」と彼は助言している。
翻訳元: https://www.darkreading.com/cyber-risk/china-hackers-industrializing-botnets
