Chinese hacker

ソフォスは本日、「パシフィック・リム(環太平洋)」と名付けられた一連の報告書を公開しました。この報告書には、ソフォスの製品を含む世界中のネットワーク機器を標的とする中国の脅威行為者が増加する中、ソフォスが5年以上にわたって中国の脅威行為者とどのように戦ってきたかが詳細に記載されています。

長年にわたり、サイバーセキュリティ企業は、中国の脅威行為者がエッジネットワーキングデバイスの欠陥を悪用してカスタムマルウェアをインストールし、ネットワーク通信を監視したり、認証情報を盗んだり、中継攻撃のプロキシサーバーとして機能させたりすることを企業に警告してきました。

これらの攻撃は、FortinetBarracudaSonicWall、Check Point、D-Link、Cisco、Juniper、NetGear、Sophosなどの有名メーカーを標的としています。

ソフォスはこの活動を、Volt Typhoon、APT31、APT41/Winnti として知られる複数の中国の脅威アクターによるものだとしています。

「ソフォスは、5年以上にわたって、ソフォスのファイアウォールを標的とし、ボットネット、新しいエクスプロイト、特注のマルウェアを使用する複数の中国ベースのグループを調査してきました。

「他のサイバーセキュリティベンダー、政府、法執行機関からの支援により、私たちは、信頼度の差はあれ、観測された活動の特定のクラスターをVolt Typhoon、APT31、APT41/Winntiであると断定することができました。

ソフォスによると、2018年にインドのソフォス子会社であるCyberoam本社を標的にしたときから、脅威行為者とスパーリングを始めたという。研究者は、脅威行為者がネットワーク機器への攻撃を研究し始めたのはこの時だと考えている。

それ以来、脅威行為者はエッジネットワーキングデバイスを標的に、ゼロデイ脆弱性や既知の脆弱性を利用することが多くなった。

ソフォスは、ゼロデイ脆弱性の多くは中国の研究者によって開発され、ベンダーだけでなく、中国政府や関連する国家的脅威行為者とも共有していると考えています。

「X-Opsは、2つの攻撃(Asnarökと “Personal Panda “と呼ばれる後発の攻撃)において、バグバウンティ研究者が責任を持って脆弱性を公開していることと、本レポートで追跡している敵対グループとの関連を明らかにしました。 X-Opsは、成都の教育機関を中心とした研究コミュニティの存在を中程度の信頼度で評価しました。このコミュニティは、脆弱性調査を共同で行い、ベンダーと、国家のために攻撃的な作戦を実施する請負業者など、中国政府に関連する団体の両方と調査結果を共有していると考えられます。しかし、これらの活動の全範囲と性質は、決定的な検証を受けていない。”

Sophos X-Ops、Ross McKerchar。

長年にわたり、中国の脅威当事者は、メモリのみのマルウェア、高度な永続化技術、検出を回避するための大規模なオペレーショナル・リレー・ボックス(ORB)プロキシネットワークとしての侵害されたネットワークデバイスの利用など、その戦術を進化させてきました。

このような攻撃の多くはサイバーセキュリティの研究者を守勢に立たせるものでしたが、ソフォスもまた、侵害されていることが判明しているデバイスにカスタムインプラントを仕込むなど、攻勢に転じる機会を得ました。

「X-Opsのアナリストは、テレメトリー(遠隔測定)を通じて、X-OpsがDouble Helix社のものであると確信を持って結論付けたデバイスを特定しました

「法律顧問と相談した後、X-Opsは標的型インプラントを配置し、攻撃者がvimを使用して簡単なPerlスクリプトを記述し、実行するのを観察しました。

「価値は低いものの、攻撃者が制御するデバイスをほぼリアルタイムで観察することができ、情報収集能力の貴重なデモンストレーションとなりました。

これらのインプラントにより、ソフォスは、ネットワークデバイスに展開された UEFI ブートキットを含む、脅威行為者に関する貴重なデータを収集することができました。

このデバイスは、成都を拠点とする企業によって購入され、その地域の IP アドレスにテレメトリを送信していました。ソフォスによると、この地域はネットワークデバイスを標的とした悪意のある活動の震源地となっています。

ソフォスの複数のレポートは非常に詳細で、イベントのタイムラインや、防御者が攻撃から身を守る方法についての詳細を共有しています。

環太平洋地域」の調査にご興味のある方は、まずこちらからご覧ください。