ボルト・タイフーンにより重要インフラに対する悪意のある活動が激化

ボルト・タイフーンにより重要インフラに対する悪意のある活動が激化

タイムスタンプ:11年2024月5日49:XNUMX
Volt Typhoon Ramps Up Malicious Activity Against Critical Infrastructure PlatoBlockchain Data Intelligence. Vertical Search. Ai.

中国が支援するサイバースパイ集団、ボルト・タイフーンは、攻撃インフラを拡大するため、洗練されたステルス活動でレガシーシスコデバイスを組織的に標的にしている。

多くの場合、重要なインフラストラクチャをターゲットにすることで知られるこの攻撃者は、2019 年にルーターに存在したいくつかの脆弱性を悪用して、ターゲット デバイスに侵入し、それらを制御しています。

米国の重要インフラ部門をターゲットに

SecurityScorecard の脅威インテリジェンス チームの研究者は、最近のベンダーと メディアの報道 ボルト・タイフーンが米国の重要インフラ組織に侵入し、将来の混乱の可能性への布石について。攻撃は水道事業、電力供給会社、交通、通信システムを標的にしている。このグループの被害者には米国、英国、オーストラリアの組織も含まれている。

ベンダーの 1 人が次のように報告しています。 ルーメン、ボットネットについて説明しました。 小規模オフィス/ホーム オフィス (SOHO) ルーター ボルト タイフーンやその他の中国の脅威グループは、高価値ネットワークに対する攻撃で指揮統制 (C2) ネットワークとして使用しています。 Lumen がレポートで説明したネットワークは、主に Cisco、DrayTek、および小規模ではあるが Netgear のサポートが終了したルーターで構成されています。

SecurityScorecard の研究者は、Lumen がレポートとともに公開した侵害指標 (IoC) を使用して、Volt タイフーンのキャンペーンに関連する新しいインフラストラクチャを特定できるかどうかを確認しました。の 調査 SecurityScorecard のスタッフ脅威研究者である Rob Ames 氏は、「脅威グループの活動がこれまで考えられていたよりも広範囲にわたる可能性があることを示した」と述べています。

たとえば、ボルト タイフーンは、SecurityScorecard が 30 日間にわたって C325 ボットネット上で観察した、耐用年数が終了した Cisco RV1,116/320 ルータの 325% (つまり 2 台中 37 台) を侵害したと考えられます。セキュリティ ベンダーの研究者は、1 年 2023 月 7 日から 2024 年 XNUMX 月 XNUMX 日までの間、侵害された Cisco デバイスと既知の Volt タイフーン インフラストラクチャとの間の定期的な接続を観察し、非常に活発な活動があったことを示唆しています。

SecurityScorecard の調査では、Volt タイフーンが現在このグループがターゲットにしている Cisco ルータやその他のネットワーク エッジ デバイス上にこれまで知られていない Web シェル「fy.sh」を導入していることも判明しました。さらに、SecurityScorecard は、ボルト タイフーンの活動に関連していると思われる複数の新しい IP アドレスを特定することができました。

「SecurityScorecard は、私たちが観察した新たに侵害されたデバイス、以前は特定されていなかった Web シェル (fy.sh)、および新しい IoC を表す可能性のあるその他の IP アドレスを特定するために、Volt タイフーンにリンクされて以前に流通した IoC を使用しました」とエイムズ氏は言います。

陸地を離れた場所でのサイバー攻撃

ボルト・タイフーン は、 米国サイバーセキュリティ・インフラストラクチャー庁 (CISA) は、米国の重要インフラ部門を標的とした、国家支援による中国の脅威アクターであると特定されました。 Microsoft2023年2021月にこのグループについて最初に報告した同グループは、少なくともXNUMX年XNUMX月から活動しており、中国に拠点を置き、数多くの非日常的な手法を使って大規模なサイバースパイ活動を行っていると述べている。同社は、このグループが将来の紛争の際に米国とアジアの間の重要な通信機能を妨害する能力を開発していると評価した。

エイムズ氏は、ボルト・タイフーンが侵害されたルーターをデータ転送に使用していることは、同グループのステルス性への取り組みの表れの1つであると述べている。

「このグループは、侵害されたルーターと同じエリアにある組織をターゲットにする場合、地理ベースの検出を避けるために、トラフィックをこれらのデバイス経由でルーティングすることがよくあります」と彼は言います。 「これらの組織は、関係するトラフィックがその組織が拠点を置く地域から発信されていると思われる場合、悪意のある活動に気づく可能性が低くなります。」

脆弱な耐用年数が終了した機器をサイバー標的にする

Volt タイフーンが使用済みデバイスをターゲットにしていることも、攻撃者の観点からすると非常に理にかなっているとエイムズ氏は言います。 Volt タイフーンがターゲットにしている Cisco RV35 ルータに関連する、CVSS スケールで 9 点中 10 点以上の深刻度評価を持つ既知の重大な脆弱性が約 320 件あります。そのうち 2021 件は CISA の既知の悪用された脆弱性カタログに含まれています。シスコは、XNUMX 年前の XNUMX 年 XNUMX 月に、このテクノロジーのバグ修正、メンテナンス リリース、および修理の発行を停止しました。シスコ デバイスに加えて、Volt タイフーンにリンクされたボットネットには、侵害されたレガシー DrayTek Vigor および Netgear ProSafe ルーターも含まれています。

「デバイス自体の観点からすれば、それらは簡単に実現できる成果です」とエイムズ氏は言います。 「『サポート終了』とは、デバイスの製造元がデバイスにアップデートを発行しなくなることを意味するため、デバイスに影響を与える脆弱性は対処されず、デバイスが侵害されやすい状態になる可能性があります。」

クリティカル・スタート社のサイバー脅威研究担当シニアマネージャー、カリー・ギュンサー氏は、ボルト・タイフーンの戦略的ターゲットが生産終了したシスコルーターであること、fy.shのようなカスタムツールの開発、地理的および分野別のターゲットは非常に高度な作戦を示唆していると語る。

「レガシー システムに焦点を当てることは、脅威アクターにとって一般的な戦術ではありません。主な理由は、古いシステムとその脆弱性に関する特別な知識が必要であり、その知識は広く知られていない、文書化されていない可能性があるためです」とギュンター氏は言います。 「しかし、特に広範な偵察を実施し、目的に合わせたエクスプロイトを開発するリソースと動機を持つ国家支援の主体の間では、この傾向が強まっています。」

例として、彼女は、いわゆる Ripple20の脆弱性 数百万台のレガシー IoT デバイスに影響を与えた TCP/IP スタックのほか、古い VPN 製品の欠陥を標的とした中国やイランの脅威グループも同様でした。

タイムスタンプ:

より多くの 暗い読書