Chinese hacker

中国国家が支援するハッキンググループSalt Typhoonは、JumbledPathと呼ばれるカスタムユーティリティを使用して、米国の通信プロバイダーへのサイバー攻撃において、ネットワークトラフィックをこっそりと監視し、機密データを取得する可能性がある。

Salt Typhoon(別名Earth Estries、GhostEmperor、UNC2286)は、少なくとも2019年から活動している洗練されたハッキンググループで、主に政府機関や電気通信会社への侵入に重点を置いている。

最近、米国当局は、ベライゾン、AT&T、ルーメン・テクノロジーズ、T-モバイルなど、米国内の通信サービス・プロバイダーが複数の侵害を成功させた背後にソルト・タイフーンがいたことを確認した。

その後、ソルト・タイフーンは一部の米国政府関係者の私的通信を盗聴し、裁判所公認の盗聴要求に関連する情報を盗んでいたことが明らかになった。

先週、Recorded FutureのInsikt Groupは、Salt Typhoonが2024年12月から2025年1月にかけて、1,000台以上のCiscoネットワーク・デバイス(半数以上が米国、南米、インド)を標的にしていたと報告した、

本日、Cisco Talosは、この脅威者が米国の大手通信会社に侵入した際の活動の詳細を明らかにした。

ソルト・タイフーンの手口

シスコによると、ソルト・タイフーンのハッカーは、主に盗んだ認証情報を使ってコア・ネットワーク・インフラに侵入したという。Ciscoの脆弱性CVE-2018-0171を悪用した1件のケースを除けば、このキャンペーンで悪用された既知の脆弱性やゼロデイ脆弱性は確認されていない。

Cisco Talos 社は報告書の中で、「このキャンペーン中に Cisco の新たな脆弱性は発見されなかった。「Salt Typhoonが他の3つの既知のCiscoの脆弱性を悪用しているという報告もあるが、これらの主張を裏付ける証拠は確認されていない。

Salt Typhoonは主に盗まれた認証情報を使って標的のネットワークにアクセスしたが、認証情報の正確な入手方法は依然として不明である。

いったん内部に侵入すると、ネットワーク・デバイスの設定からさらに認証情報を抽出し、認証トラフィック(SNMP、TACACS、RADIUS)を傍受することでアクセスを拡大した。

また、TFTP や FTP を使ってデバイスのコンフィギュレーションを流出させ、機密性の高い認証データ、弱く暗号化されたパスワード、ネットワーク・マッピングの詳細情報を取得しました。

攻撃者は、異なるネットワーク・デバイス間を頻繁に行き来して痕跡を隠したり、侵害されたエッジ・デバイスを使用してパートナーの通信ネットワークに侵入するなど、持続的なアクセスと回避のための高度なテクニックを披露しました。

また、ネットワーク・コンフィギュレーションの変更、コマンド実行のためのゲスト・シェル・アクセスの有効化、アクセス制御リスト(ACL)の変更、隠しアカウントの作成なども確認されています。

Bypassing access control lists
アクセス制御リストの迂回
Source:シスコ

カスタムJumbledPathマルウェア

Salt Typhoon攻撃の主要な構成要素は、Tcpdump、Tpacap、Embedded Packet Capture、JumbledPathと呼ばれるカスタムツールなどのパケットキャプチャツールを使用して、ネットワークアクティビティを監視し、データを盗むことでした。

JumpedPathは、x86_64 Linuxベースのシステム用に構築されたGoベースのELFバイナリで、Cisco Nexusデバイスを含むさまざまなメーカーのエッジネットワーキングデバイスで実行できるようになっている。

JumbledPathにより、Salt Typhoonはジャンプホスト(キャプチャ要求があたかもネットワーク内部の信頼できるデバイスから発信されたかのように見せかけながら、攻撃者の真の位置を難読化する仲介システム)を介して、標的としたCiscoデバイス上でパケットキャプチャを開始することができました。

JumbledPath data handling overview
JumbledPathデータ処理の概要
ソースはこちら:シスコ

同じツールは、ロギングを無効にしたり、既存のログを消去したりして、活動の痕跡を消し、フォレンジック調査を困難にすることもできる。

Ciscoは、Salt Typhoonの活動を検知するために、非標準ポートでの不正なSSH活動の監視、欠落していたり異常に大きい’.bash_history’ファイルを含むログの異常の追跡、予期せぬ設定変更の検査など、いくつかの推奨事項を挙げている。

ここ数年、中国の脅威関係者は、エッジネットワーキングデバイスを標的とし、ネットワーク通信を監視したり、認証情報を盗んだり、中継攻撃のプロキシサーバーとして動作させたりするカスタムマルウェアをインストールすることが増えています。

これらの攻撃は、FortinetBarracudaSonicWall、Check Point、D-Link、Cisco、Juniper、NetGear、Sophosなどの有名メーカーを標的としています。

これらの攻撃の多くはゼロデイ脆弱性を悪用したものですが、その他のデバイスは、漏洩した認証情報や古い脆弱性によって侵入されています。そのため、管理者はエッジ・ネットワーキング・デバイスにパッチが提供され次第、すぐに適用する必要がある。