サイバーニュース.jp

世界のサイバーなニュースを配信

中国政府支援ハッカーがネットワークエッジデバイスを悪用し機密データを収集

カテゴリ:

, , , , , , , , ,

概要

中国政府が支援するサイバー脅威グループ「Salt Typhoon」は、少なくとも2019年以降、世界の電気通信インフラを標的としています。彼らはネットワークエッジデバイスを悪用し、深い永続性を確立して大量の機密データを収集しています。国家安全部(MSS)と連携し、Salt Typhoonは長期的なシギント(信号情報)収集に注力しており、フロント企業や請負業者エコシステムを利用して帰属を曖昧にしています。彼らのキャンペーンは、米国、英国、台湾、欧州連合を含む複数の地域に及び、少なくとも12の米国通信プロバイダー、多数の州兵ネットワーク、および同盟国の通信サービスを侵害しています。

手口とツール

Salt Typhoonの攻撃は、ルーター、VPNゲートウェイ、ファイアウォールに特注のマルウェア、LOLBINs(Living-off-the-Land Binaries)、ステルス性の高いファームウェアインプラントを使用します。これにより、VoIP設定、合法傍受ログ、加入者メタデータ、通話詳細記録などを傍受しています。彼らは、i-SOON(Anxun Information Technology Co., Ltd.)、Sichuan Juxinhe Network Technology、Beijing Huanyu Tianqiong、Sichuan Zhixin Ruijieなどの偽装民間請負業者と連携して活動しています。これらの企業は、ドメイン登録パイプライン、リースインフラ、技術サポート、カスタムツールを提供しています。2024年に流出したi-SOONのGitHubリポジトリは、MSSがいかに攻撃的なサイバー作戦の重要な要素を外部委託し、否認可能性を維持しているかを示しています。

運用モデル

Salt Typhoonのトレードクラフトは、モジュール化された産業化されたインフラが特徴です。彼らは日常的に、偽造された米国人ペルソナ(ProtonMailアカウントとマイアミまたはイリノイ州の住所を使用することが多い)を用いて英語のドメインを登録しています。また、正当性を高めるためにGoDaddyやSectigoから商用のドメイン検証済みSSL証明書を取得しています。大量のドメインプロビジョニング、共有DNSホストクラスター、特定のネームサーバーとIP範囲の繰り返し使用は、検出可能なパターンを生み出しており、防御側が時間の経過とともに攻撃者のフットプリントをマッピングするのに役立っています。これは、中国(PRC)の作戦機構に組み込まれた国家主導のサイバースパイプログラムを意味します。

主な侵害事例

  • 米国通信事業者メタデータ侵害(2024年): AT&T、Verizon、T-Mobile、Lumen、Windstreamなどが、悪用されたルーターおよびファイアウォールの脆弱性を介して、加入者メタデータと合法傍受ログを流出させました。これにより、包括的な通話詳細記録とインフラマップが取得されました。
  • 州兵ネットワーク侵入(2024年3月~12月): VPNゲートウェイの悪用により、州レベルの州兵ネットワークが侵入されました。ネットワーク図、認証情報、インシデント対応プレイブックが奪取され、米国の国内動員能力の詳細な評価が可能になった可能性があります。
  • 英国重要インフラ侵害(2023年~2024年): 特定されていない英国政府および軍事通信システムが、深い永続性を持つインプラントとメタデータ収集の被害を受けました。
  • EUルーターハイジャック(2022年~2023年): オランダ、ドイツ、フランスの中小規模ISP複数社がファームウェアインプラントとバックドア付きアップデートを経験し、受動的な監視と潜在的なトラフィック操作を容易にしました。

帰属と主要人物

帰属調査により、2人の主要人物が特定されています。

  • Yin Kecheng: Sichuan Juxinheのオペレーターで、米国司法省に起訴され、通信侵害を可能にしたとしてOFACから制裁を受けています。
  • Zhou Shuai(別名「Coldface」): 元i-SOONのコンサルタントで、盗まれたデータの仲介とインフラプロビジョニングの調整で起訴されています。

彼らの役割は、Salt Typhoonの多層的な敵対者モデルを浮き彫りにしています。これは、戦略的仲介、ドメインロジスティクス、技術的インプラントの展開を、国家関連の請負業者間で分離していることを示しています。

防御と対策

ネットワーク防御者にとって、Salt Typhoonの予測可能なドメイン命名テンプレート、大量のSSL証明書調達、共有DNSクラスターは、有効な検出の足がかりとなります。パッシブDNS、レジストラテレメトリー、SSL証明書の発行、偽ペルソナの重複を監視することで、新たなSalt Typhoonキャンペーンが活発な侵入に発展する前に明らかにすることができます。エッジデバイスにおける長期的な永続性を軽減するには、通信事業者と重要インフラプロバイダーが以下の対策を講じる必要があります。

  • ファームウェアセキュリティの強化。
  • 厳格な構成管理の実施。
  • VoIPおよび合法傍受システム全体での堅牢な異常検出の展開。

結論

Salt Typhoonのハイブリッド運用モデル(MSSのタスクとフロント企業および商業請負業者による補完)は、中国のサイバードクトリンが民営化され、スケーラブルなスパイ活動へと広範に移行していることを反映しています。正当な商業R&Dと秘密の攻撃能力を融合させることで、中国政府は運用効率と否認可能性の両方を達成しています。洗練されたインプラントと長期滞留は、防御側にとって依然として大きな課題を提起しています。これは、世界の通信のバックボーンを標的とする国家連携サイバースパイプログラムの追跡、帰属特定、および阻止における国際協力の緊急の必要性を強調しています。

投稿をさらに読み込む