ソルト・タイフーンとして知られる中国の国家支援ハッキング・グループは、2024年の9ヶ月間、米国陸軍州兵のネットワークに侵入し、発見されないまま、ネットワーク設定ファイルと管理者認証情報を盗み出し、他の政府ネットワークの侵害に使用される可能性があった。
ソルト・タイフーンは、中国の国家安全保障省(MSS)諜報機関に属するとされる、中国の国家支援によるハッキング・グループである。このハッキング・グループは、AT&T、Verizon、Lumen、Charter、Windstream、Viasatなど、世界中の通信プロバイダーやブロードバンド・プロバイダーに対する一連の攻撃で、過去2年間に悪名を馳せた。
これらの攻撃の一部は、機密の通話記録、個人的な通信、米国政府が使用する法執行機関の盗聴システムにアクセスすることを目的としていた。
国家警備隊のネットワーク、9カ月間侵入される
NBCが最初に報じた6月11日の国土安全保障省のメモによると、ソルト・タイフーンは2024年3月から12月までの9ヶ月間、米州の陸軍州兵ネットワークに侵入した。
この間、ハッカーたちはネットワーク図、設定ファイル、管理者認証情報、そして他の州の州兵や政府のネットワークに侵入するために使用できる軍人の個人情報を盗んだ。
「国防総省の報告書によると、「2024年3月から12月にかけて、ソルト・タイフーンは米国各州の陸軍州兵のネットワークを広範囲に侵害し、特にそのネットワーク構成と、他のすべての米国各州および少なくとも4つの米国準州の対応するネットワークとのデータ・トラフィックを収集した。
「このデータには、これらのネットワークの管理者証明書やネットワーク図も含まれており、ソルト・タイフーンによるこれらの部隊へのハッキングを促進するために使用される可能性があった。
メモにはさらに、ソルト・タイフーンは以前にも、盗まれたネットワーク・トポロジーとコンフィギュレーション・ファイルを利用して、重要なインフラや米国政府機関を侵害したことがある、と書かれている。
「ソルト・タイフーンは以前にも、流出したネットワーク・コンフィギュレーション・ファイルを使って、他の場所へのサイバー侵入を可能にしたことがある。
「2024年1月から3月にかけて、ソルト・タイフーンは、少なくとも2つの米国の州政府機関を含む、他の米国政府機関や重要なインフラストラクチャに関連する設定ファイルを流出させた。これらのファイルの少なくとも1つは、後に別の米国政府機関のネットワーク上の脆弱なデバイスの侵害につながりました。
ネットワーク・コンフィギュレーション・ファイルには、ルーター、ファイアウォール、VPNゲートウェイなどのネットワーク・デバイスに設定された設定、セキュリティ・プロファイル、認証情報が含まれている。この情報は攻撃者にとって貴重なもので、通常インターネット経由でアクセスできない他の機密ネットワークへのパスや認証情報を特定するために使用できる。
DHSは、2023年から2024年にかけて、Salt Typhoonが12のセクターから約70の米国政府機関および重要インフラに関連する1,462のネットワーク設定ファイルを盗んだと警告している。
ソルト・タイフーンが国家警備隊のネットワークに侵入した方法は明らかにされていないが、ソルト・タイフーンはシスコ・ルーターなどのネットワーク機器の古い脆弱性を狙うことで知られている。
DHS のメモでは、ソルト・タイフーンが過去にネットワーク侵入に利用した以下の脆弱性が共有されている:
- CVE-2018-0171:CVE-2018-0171: Cisco IOS および IOS XE Smart Install に、特別に細工された TCP パケット経由でリモート・コード実行を許す重大な欠陥。
- CVE-2023-20198:デバイスへの認証されていないリモートアクセスを許す、Cisco IOS XE ウェブ UI に影響するゼロデイ。
- CVE-2023-20273:cve-2023-20273: IOS XE を標的とした特権昇格の不具合で、ハッカーが root 権限でコマンドを実行できるようにします。この欠陥は、CVE-2023-20198 と連鎖して永続性を維持します。
- CVE-2024-3400:Palo Alto Networks の PAN-OS GlobalProtect にコマンドインジェクションの脆弱性があり、 認証されていない攻撃者がデバイス上でコマンドを実行できるようになります。
DOHはまた、上記の脆弱性を悪用する際にSalt Typhoonが使用した以下のIPアドレスを共有した:
43.254.132[.]118 146.70.24[.]144 176.111.218[.]190 113.161.16[.]130 23.146.242[.]131 58.247.195[.]208
以前の攻撃では、ハッカーは通信環境のパッチが適用されていないCiscoルーターを悪用し、インフラにアクセスしていました。攻撃者はこのアクセスを利用して、米国の政治キャンペーンや議員の通信をスパイしていました。
これらの攻撃の一環として、脅威者はJumblePathと GhostSpiderというカスタムマルウェアを配備し、通信ネットワークを監視していました。
DHSのメモは、国家警備隊や政府のサイバーセキュリティチームに対し、これらの欠陥にパッチが適用されていることを確認し、不要なサービスをオフにし、SMBトラフィックをセグメント化し、SMB署名を実装し、アクセス制御を実施するよう促している。
州兵局の広報担当者はNBCの取材に対し、今回の情報漏えいを確認したが、連邦政府や州の任務に支障をきたすことはなかったとし、具体的な内容については明らかにしなかった。
ワシントンの中国大使館は攻撃を否定しなかったが、米国はソルト・タイフーンが中国政府とつながっているという「決定的で信頼できる証拠」を提供していないと述べた。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
ダミーのためのクラウド検知と対応
新たな脅威がビジネスに影響を及ぼす前に、リアルタイムで対処します。
この実用的でナンセンスなガイドで、クラウド検知と対応(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。
Comments