Tutorials Brawte nfaq 0 Comments

北京の支援を受けた悪党がパッチ未適用のネットワークキットを狙って通信事業者を攻撃

Table of Contents

北京の支援を受けた悪党がパッチ未適用のネットワークキットを狙って通信事業者を攻撃

国家の支援を受ける中国の攻撃者は、古い脆弱性を積極的に悪用して「侵害されたインフラの広範なネットワークを構築」し、それを利用して通信会社やネットワークサービスプロバイダーを攻撃している。

米国国家安全保障局(NSA)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)は異例の措置として共同勧告を発表し、同盟国政府、重要インフラストラクチャ運営者、民間業界団体に対し、IT資産の修復を急ぐよう警告した。

この勧告では、ネットワークデバイスがこの攻撃の標的であると述べており、3つの機関が最も頻繁に悪用されていると評価している16件の脆弱性(2017年に遡るものもあれば、2021年4月より新しいものもない)を列挙している。

攻撃者は、ネットワークのノイズや通常のアクティビティに溶け込みます。

中国はこのキャンペーンを実行するために多大な努力をする必要はなかった。勧告では、北京の手先がRouterSploitやRouterScanといったオープンソースツールを使って、潜在的に脆弱な端末を見つけることを推奨している。

パッチが適用されていないボックスは、特に家庭や小規模企業に設置されたルーターの場合、簡単に侵害を受けます。

レジスター誌は、このような製品にパッチを当てるのは容易ではなく、ファームウェアを更新する必要があるというアドバイスが所有者に届くことはほとんどないと度々指摘しています。

3機関による勧告では、攻撃者は侵害されたデバイスを利用して「通信事業者やネットワークサービスプロバイダへの最初の足掛かり」を築き、その後、重要な権限を持つユーザーや、認証、認可、アカウンティングを管理するインフラストラクチャを狙うと述べられています。

中国のプログラミングコード

マイクロソフト、中国関連のマルウェアがWindowsのタスクスケジュールを隠す仕組みを詳細に説明

続きを読む

この勧告では、中国が支援する攻撃者が重要なリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを特定し、「基盤となる SQL データベースにアクセスするための資格情報を取得し、SQL コマンドを使用して、ユーザー アカウントと管理者アカウントのクリアテキストとハッシュ化されたパスワードの両方を含む資格情報をダンプした」攻撃について説明しています。

中国の攻撃者はこれらの認証情報を入手すると、カスタム自動化スクリプトを用いてSecure Shell経由でルーターに認証し、ルーターコマンドを実行して出力を保存しました。収集された情報の中には、接続された各ルーターの設定情報が含まれていました。

「サイバー攻撃者は、ルータやスイッチが多数存在する中規模から大規模の被害者ネットワークの悪用をさらに自動化するために追加のスクリプトを使用し、ネットワーク内のトラフィックをうまく操作するために必要なルータ構成を大量に収集した可能性が高い」と勧告には記されている。

この操作には、トラフィックをキャプチャして「ネットワークから攻撃者が管理するインフラストラクチャへ」流出させることが含まれていました。

勧告では、中国が雇った犯罪者は「ネットワーク環境固有のツールを活用して、カスタマイズされたツールセットを公開されているツールと組み合わせることが多く、ネットワークのノイズや通常の活動に溶け込むことで自分たちの活動を隠蔽する」ため、攻撃を見つけるのが難しいと説明している。

  • 米国、投資家に中国のハイテク株を売却する要件を調整
  • 北京が輸入したくない技術の半秘密リストが明らかに
  • ファーウェイは、1,000ラックのデータセンターの構築に必要な時間を半分に短縮したと主張している。

中国が支援する攻撃者は、3つの機関が「さまざまな中国のインターネットサービスプロバイダーに解決される、多数の中国ベースのインターネットプロトコル(IP)アドレスからのホップポイントと呼ばれる侵害されたサーバー」と表現するものの支援に頼ることができる。

サイバー犯罪者は通常、ホスティングプロバイダーから直接または間接的にリモートアクセスをリースすることでサーバーの使用権を取得します。彼らはこれらのサーバーを利用して、運用メールアカウントの登録とアクセス、C2ドメインのホスティング、そして被害者ネットワークとのやり取りを行います。サイバー犯罪者は、被害者ネットワークとのやり取りにおいて、これらのホップポイントを難読化技術として利用します。

3 つの機関は 14 の緩和策を提案しているが、そのほとんどは、システムにパッチを適用すること、多要素認証を常に使用すること、ネットワークをセグメント化して横方向の移動を防ぐこと、デバイスの帯域外管理機能を無効にすることなど、常識的な対策である。

しかし、この勧告では、文書で説明されている行為者は、自分たちの攻撃を描写した分析の公開に応じて戦術を変えるため、継続的な警戒が必要だと警告している。

「サイバー攻撃者は、進行中の攻撃活動に関する情報が公開された直後から、インフラとツールセットを変更している」と勧告は述べている。攻撃者は標的の防御行動を観察した後も、攻撃手法を変化させている。

したがって、この勧告自体が、3 つの機関が確認したルーター コマンドの詳細を記載しているため、新たな「イノベーション」の波を引き起こす可能性があります。®

Tutorials

Smart Recommendations

Discover More