CISAは本日、今年初めに複数の世界的な大手通信プロバイダーに侵入した中国の脅威グループ「ソルト・タイフーン」によって調整された攻撃に対して、ネットワーク防御者がシステムを強化するのに役立つガイダンスを発表した。
ソルト・タイフーンがAT&T、T-モバイル、ベライゾン、ルーメン・テクノロジーズを含む複数のブロードバンド・プロバイダーに侵入したとの報告を受け、米国のサイバーセキュリティ機関とFBIは10月下旬に侵入を確認した。
その後、攻撃者は「限られた人数」の政府関係者の「私的な通信」を侵害し、米国政府の盗聴プラットフォームにアクセスし、顧客の通話記録や法執行機関の要請データを盗んだことが明らかになった。
WSJのレポートによると、通信大手のネットワークが最初に侵入された時期はまだ不明だが、中国のハッカーたちは「数ヶ月あるいはそれ以上」アクセスすることができ、「大小の企業や何百万人ものアメリカ人を顧客とするインターネット・サービス・プロバイダーから、膨大な量のインターネット・トラフィックを盗み出すことができた」という。
「敵が退去させられたと確実に言うことはできない。CISAの上級職員は本日、記者会見で記者団に対し、「我々はパートナーとともに、まだそれを理解しようとしているところだ」と述べた。
しかし、T-モバイルのチーフ・セキュリティ・オフィサーは水曜日に、攻撃は接続された有線プロバイダーのネットワークから発信されたと述べ、同社はもはやネットワーク内で活動している攻撃者を見ていないと主張している。
Earth Estries、FamousSparrow、Ghost Emperor、UNC2286としても追跡されているこの脅威グループは、少なくとも2019年以降、東南アジア全域の政府機関や通信会社を侵害している。
“警戒が鍵”
NSAが本日述べたように、中国の攻撃者は、露出した脆弱なサービス、パッチが適用されていないデバイス、一般的にセキュリティが不十分な環境を標的にしている。
FBI、NSA、および国際的なパートナーとの協力で発表された共同勧告には、これらの脅威行為者が悪用する攻撃対象領域を減らすために、デバイスとネットワーク・セキュリティを強化するためのヒントが含まれています。
また、通信インフラを管理するシステム管理者やエンジニアが、ネットワーク・トラフィック、データ・フロー、ユーザー活動をより詳細に把握できるよう、可視性を高めるための防御策も含まれています。
本日の勧告で強調されたその他のハードニングのベストプラクティスは以下のとおりです:
- デバイスに速やかにパッチを適用し、アップグレードする、
- 使用されていない、認証されていない、または暗号化されていないプロトコルをすべて無効にする、
- 管理接続と特権アカウントの制限
- パスワードの安全な使用と保管
- 強力な暗号のみを使用する。
ネットワーク防御者はまた、ネットワーク境界のエッジ・デバイスの可視性を高めるために、すべての設定変更と管理接続をログに記録し、予期しないものには警告を発するようにシステムを設定することも推奨される。
また、T-モバイルはインターネット上に公開されたデバイスではなく、接続された有線プロバイダーを通じて侵入されたため、有線プロバイダーなどの信頼できるパートナーからのトラフィックを監視することも重要である。
「ネットワークの侵害を防御するには、警戒が重要です。常にシステムに目を配り、既知の脆弱性が標的になる前にパッチを当てて対処することです」と、NSAサイバーセキュリティ・ディレクターのデイブ・ルーバーは述べている。
Comments