AT&Tとベライゾン、米政府の盗聴プラットフォームを標的にハッキングされたと報じられる

ベライゾン、AT&T、ルーメン・テクノロジーズなど複数の米ブロードバンド・プロバイダーが、ソルト・タイフーンとして追跡されている中国のハッキング・グループに侵入されたとウォール・ストリート・ジャーナル紙が報じている。

ハッカーたちは、米国連邦政府が裁判所公認のネットワーク盗聴要求に使用しているシステムにアクセスしていた可能性があり、攻撃の目的は情報収集のようだ。

侵入がいつ行われたのかは不明だが、WSJはこの件に詳しい人物の話を引用し、”数ヶ月あるいはそれ以上の間、ハッカーたちは米国の合法的な通信データ要求に協力するために使用されるネットワーク・インフラにアクセスしていた可能性がある “と述べている。

ソルト・タイフーンは、マイクロソフトがこの特定の中国ベースの脅威行為者につけた名前である。他のサイバーセキュリティ企業は、Earth Estries（トレンドマイクロ）、FamousSparrow（ESET）、Ghost Emperor（カスペルスキー）、UNC2286（マンディアント、現在はグーグル・クラウドの一部）として、この敵対者を追跡している。

機密トラフィックのキャプチャ

WSJによると、この攻撃はここ数週間で発見され、米国政府と民間企業のセキュリティ専門家によって調査されている。

この攻撃の影響（観測されたデータの量や種類、流出したデータの種類）はまだ評価中だと、侵入に関する情報を持つ関係者はWSJに語っている。

ソルト・タイフーンは、米国内のサービス・プロバイダーへの侵入とは別に、他国でも同様のハッキングを行っている可能性がある。

ソルト・タイフーンは、少なくとも2019年から活動しており、通常東南アジア地域の政府機関や通信会社に焦点を当てた洗練されたハッキンググループと考えられている。

セキュリティ研究者はまた、この脅威者がブラジル、ブルキナファソ、南アフリカ、カナダ、イスラエル、フランス、グアテマラ、リトアニア、サウジアラビア、台湾、タイ、イギリスのホテル、エンジニアリング会社、法律事務所を攻撃していることも発見した。

ハッカーは通常、Microsoft Exchange ServerのProxyLogonの脆弱性（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）などの脆弱性を悪用することで、標的ネットワークへの最初のアクセスを取得する。

Salt Typhoon/Ghost Emperorに起因する以前の攻撃では、脅威行為者はSparrowDoorと呼ばれるカスタムバックドア、認証データを抽出するためのMimikatzツールのカスタマイズバージョン、およびWindowsカーネルモードルートキットDemodexを使用していました。

捜査当局は、今回の攻撃の最初のアクセス方法をまだ探している。WSJによると、インターネット・トラフィックのルーティングを担当するシスコ社のルーターにアクセスする方法が検討されているという。

しかし、シスコの広報担当者はWSJに対し、同社はこの問題を調査しているが、シスコのネットワーク機器が侵害に関与しているという兆候は得られていないと述べた。

AT&Tに侵入の疑いについて問い合わせたところ、”WSJの報道についてはコメントしない “と言われた。ルーメンもコメントを拒否した。

ベライゾンは私たちの電子メールに返信していないため、返信があれば記事を更新する。

中国のAPTハッキング・グループは、サイバースパイ攻撃で米国や欧州のネットワーク機器やISPを標的にすることが増えている。

8月、LumenのBlack Lotus Labsのサイバーセキュリティ研究者は、「Volt Typhoon」として知られる中国の脅威行為者がVersa Directorのゼロデイ欠陥を悪用して認証情報を盗み出し、企業ネットワークに侵入したことを明らかにしました。これらの攻撃の間、脅威行為者は米国とインドの複数のISPとMSPに侵入しましたが、これは最近の侵害とは関係がないと考えられています。

9月、Black Lotus Labsと法執行機関は、「Raptor Train」と名付けられた中国の大規模なボットネットを破壊し、26万台以上のSOHOルーターとIPカメラをマルウェアに感染させました。このボットネットは “Flax Typhoon “と呼ばれる脅威行為者によってDDoS攻撃や他の組織へのステルス攻撃のプロキシとして使用されていました。

これらの攻撃は異なる中国のハッキング・グループによるものとされていますが、彼らは同じ傘下で活動しており、インフラやツールを共有していると考えられています。