- 10カ国の共同勧告により、中国の国家支援グループが侵害されたIoTおよびSOHOデバイスの大規模ボットネットを使用していることが警告されています。
- これらの秘密ネットワークにより、攻撃者は自分の位置を隠し、DDoS攻撃を実行し、マルウェアを拡散し、機密データを大規模に盗むことができます。
- 機関は、組織にデバイスにパッチを適用し、強力な認証情報を実装し、侵害の指標を監視して曝露を減らすよう促しています。
ほとんどの中国の国家支援脅威アクターは、侵害されたIoTおよびSOHOデバイスのボットネットをサイバー犯罪インフラとして使用しており、新しい10カ国の共同セキュリティ勧告がこれを述べています。
先週初め、NSA、DOJ、NCSCその他を含む10カ国のセキュリティ機関は、「中国関連の侵害されたデバイスの秘密ネットワークに対する防御」と呼ばれる新しい論文を公開し、これらのグループがボットネットを使用して人々のデータを盗くか、活動を妨害していることを主張しています。
「中国関連のサイバー犯人グループの標的となる者は誰でも、秘密ネットワークの使用による影響を受ける可能性があります」とレポートに述べられています。「侵害されたデバイスの秘密ネットワーク(ボットネットとしても知られている)を使用して悪意のあるサイバー活動を促進することは新しくありませんが、中国関連のサイバー犯人グループは現在それらを戦略的に、かつ大規模に使用しています。」
記事は下に続きます
ラプタートレイン
これらのアクターは、スモールオフィス/ホームオフィス(SOHO)ルーター、スマートテレビ、スマートカメラ、DVRなどのInternet of Things(IoT)デバイスなど、脆弱性があるか保護が不十分なインターネット接続デバイスを探し、マルウェアで感染させます。このマルウェアは、これらのデバイスを完全に制御することを与え、後で位置を隠す、分散型サービス拒否(DDoS)攻撃を実行する、より多くのマルウェアを展開する、または機密情報を盗むために使用できます。
レポートで言及されているボットネットの1つはRaptor Trainと呼ばれ、世界中で200,000以上のデバイスを運用していました。The Registerによると、このボットネットをFlax Typhoonと呼ばれる中国の国家支援グループにリンクしたのはFBIでした。
Salt Typhoon、Brass Typhoon、Volt Typhoonなど、「Typhoon」グループの一連全体があります。それらすべてが、一見したところ、彼らの活動でこれらのボットネットを使用しているようです。例えば、Volt Typhoonは、KV Botnetを確立するために、廃止されたCiscoおよびNetgearルーターを使用しました。
エンドポイントが感染するのを防ぐため、機関は最新のパッチで最新の状態を保つ、強力なログイン認証情報を保つ、および侵害の指標を定期的にスキャンすることを勧めています。
