中国に関連するハッカーは、侵害されたルーターやエッジデバイスを悪用して秘密ネットワークを構築し、検出とブロックが難しい隠蔽型のサイバー操作を可能にしています。
脅威アクターは、専用サーバーや購入したホスティングに頼る代わりに、現在ハッキングされた小規模オフィス/ホームオフィス(SOHO)ルーター、IoTデバイス、およびその他のエッジシステムで構成された大規模ボットネットを活用している。
このアプローチは、柔軟性が高く、低コストで、否定可能性の高いサイバー諜報キャンペーンプラットフォームを提供します。
攻撃者はこれらのネットワークを使用して偵察を実施し、潜在的なターゲットと脆弱性を特定します。また、これらのノードを通じてマルウェアを配信し、悪意のあるトラフィックが正当に見えるようにします。
ネットワークに侵入した後、同じインフラストラクチャはコマンドアンドコントロール(C2)通信をサポートし、データ流出を促進します。
セキュリティ専門家はこれらの侵害されたデバイスネットワークが攻撃の単一段階に限定されないことを警告している代わりに、サイバーキルチェーン全体で使用されています。
トラフィックは正当だが侵害されたデバイスから発信されるため、防御側が良性と悪意のあるアクティビティを区別することは格段に困難になります。
動的インフラストラクチャが検出を回避
この脅威の最も懸念される側面の1つはその動的な性質です。これらの秘密ネットワークは常に進化し、デバイスが追加、削除、または操作全体で再割り当てされています。
これにより、専門家が「IOC消滅」と呼ぶものが生じます。IPアドレスなどの侵害指標(IOC)は急速に時代遅れになります。
静的ブロックリストに依存する従来の防御は、悪意のあるインフラストラクチャが識別されるより速く変更される可能性があるため、対応するのに苦労しています。
たとえば、今日悪意があると判定されたIPアドレスは、明日はクリーンデバイスに属している可能性があります。その一方で、攻撃者は別の場所の新しい侵害されたノードに切り替わります。
秘密ネットワークの使用は、特に重要セクターの組織にとってリスクを大幅に増加させます。中国関連の脅威アクターは、このインフラストラクチャを活用してスパイ活動キャンペーンを実行し、機密データを盗み、重要なサービスを混乱させる可能性があります。
英国などの地域の組織は特にターゲットとして強調されています。しかし、これらの戦術はグローバルに適用可能であり、世界中の企業が同様の脅威に直面している可能性があります。
単に境界ベースまたは静的なセキュリティ対策に依存する防御者は、自組織のシステムがバイパスされるかもしれません。対照的に、適応的で情報主導の防御を採用する組織は、これらの攻撃を検出および軽減するためにより良い立場にあります。
軽減策
この進化する脅威に対処するため、英国の国家サイバーセキュリティセンター(NCSC)を含むサイバーセキュリティ当局が、あらゆる規模の組織向けに詳細なガイダンスを発行しています。
主な推奨事項は以下の通りです:
- エッジデバイス、特にVPNおよびリモートアクセスシステム全体の正常なトラフィックパターンをマップし、ベースラインを策定します。
- リアルタイムで既知の秘密ネットワーク指標を識別できる動的脅威インテリジェンスフィードをデプロイします。
- すべてのリモートアクセスポイントに対して多要素認証(MFA)を適用します。
- 厳密なアイデンティティ検証およびアクセス制御を含むゼロトラストアーキテクチャを実装します。
- 可能な場合、IPアロウリストおよびマシン証明書検証を使用します。
より大規模または高リスクの組織の場合、追加の手順が推奨されます:
- IoTデバイスおよびSOHOからの疑わしいトラフィックを積極的に調査します。
- 地理的プロファイリングを適用して、異常なアクセスパターンを検出します。
- 機械学習ベースの異常検出を活用して、微妙な脅威を特定します。
脅威アクターが戦術の改善を続けるにつれて、組織は静的防御からより適応的なセキュリティモデルへシフトする必要があります。トラフィックベースライニング、ゼロトラスト原則、および継続的な監視の迅速な実装が不可欠です。
防御を積極的に強化することにより、組織は秘密ネットワークベースの攻撃への露出を減らし、中国関連の益々高度なサイバー操作から重要な資産をより良く保護できます。
翻訳元: https://gbhackers.com/compromised-routers/
