中国と関連する国家後援の脅威アクターは、サイバースパイ活動と攻撃作戦の実施方法を根本的に変えています。
これらのハッキンググループは、自分たち自身の専用攻撃インフラを購入・構築する代わりに、数千台の通常のインターネットルーターとエッジデバイスを乗っ取っています。
これらの日常的なデバイスを乗っ取ることで、彼らは隠蔽ネットワークとして知られる大規模で隠された非公開ボットネットを構築します。このアプローチにより、彼らは真の位置と意図を隠すことができ、サイバーセキュリティチームが彼らの活動を追跡・阻止することがはるかに困難になります。
これらの侵害されたデバイスは、しばしばサイバーキルチェーンと呼ばれるサイバー攻撃のあらゆる段階を通じて積極的に使用されます。
まず、ハッカーは乗っ取られたルーターを使用して脆弱性をスキャンし、ターゲットに関する情報を収集します。
この新しい戦術の主な危険性は、その非常にダイナミックな性質です。侵害されたホームおよび小規模企業ルーターで構成されたボットネットを運用することは、攻撃者に信憑性のある否定性を提供する低コスト戦略です。
インフラが法的には無実の第三者に属しているため、ハッカーは簡単に自分たちの痕跡を隠すことができます。さらに、ネットワークは瞬時に再構成、再構築、または破棄することができます。
この常に変化する構造は、従来のネットワーク防御戦略を完全に弱体化させます。過去には、セキュリティチームは悪質な行為者を排除するために静的IPブロックリストに大きく依存していました。
しかし、これらの隠蔽ネットワークは頻繁に更新され、複数の異なる脅威グループ間でも共有されるため、防御側は侵害インジケーター(IOC)絶滅として知られる大きな問題に直面しています。
悪意のあるIPアドレスおよび他の攻撃シグネチャは、防御側が効果的にそれらをブロックする前に消失または変化します。
ターゲット組織への影響は深刻かつ即座です。隠蔽ネットワークにより、これらの中国関連アクターはUKおよび世界中の組織に対して高度なサイバー攻撃を成功裏に実行することができます。
これらのキャンペーンの主な目的は、非常に機密性の高いデータを盗むことと、重要なサービスの機能を妨害する可能性があります。静的防御と廃止されたブロックリストのみに依存し続ける組織は、完全にバイパスされるリスクが非常に高くなっています。
組織が自らを保護するために、国家サイバーセキュリティセンター(NCSC)とサイバーリーグは、同盟インテリジェンス機関と協力して、詳細なガイダンスを発表しました。
このアドバイザリーは、すべてのサイズのビジネス向けに実行可能な手順を提供し、静的防御がもはや現代的なハッキングキャンペーンを停止するには不十分であることを強調しています。
組織は、自分たちのネットワークを保護し、これらの変化する脅威に適応するための即座の措置を講じる必要があります:
翻訳元: https://cyberpress.org/routers-mask-china-campaigns/
