BlackTechと呼ばれるAPTグループがあります。
このグループは防衛、政府、エレクトロニクス、通信、テクノロジー、メディア、通信業界など、複数のセクターの組織をターゲットにしていて、これまでも多くの活動が実施されていることが確認されています。
そんな活動の中に今回の動きも含まれます。
どのような動きをしているのでしょうか。
- 狙う組織を選択する
小さな侵害活動ではありません。
大きな侵害活動を狙い、大きな組織を選びます。
複数の国や地域に拠点を持つ組織を選びますが、特にその中でも米国や日本に本社のある組織を選びます。 - 足がかりを侵害する
決めたターゲットの海外子会社を攻撃します。
フィッシングを使うか、もっとソーシャルエンジニアリングに寄った方法を使うか、脆弱性を使うか、それは標的によるのかもしれません。
なんらかの手法で、ターゲットの海外子会社の内部ネットワークへのアクセスを獲得します。 - ルータの管理アクセスを取得する
ルータの外部側のネットワークインターフェースからの管理操作は許可設定していない組織は多いと思われますが、組織の内部からの方向であれば通常は管理操作が可能です。
すでに攻撃者は内部ネットワークへのアクセスを獲得していますので、ブルートフォースなどを駆使し、海外子会社のルータにログインします。 - ルータのファームウェアの置き換え
細工したファームウェアにより、自分たちの活動が露呈することを防ごうとします。
メモリ内のファームウェアを古い正規のものに変更し、加工されたブートローダーに変更し、フラッシュメモリのファームウェアを加工されたものに変更します。
これらの置き換えにより、SSHバックドアが設置され、ログに記録されることなく活動することができる状態になります。
アクセスコントロールリストの内容に関係なく、侵害に都合のよい通信を許可することも実現されます。 - マジックパケットによる制御
攻撃可能な動作状態をずっと維持するようには利用されません。
置き換えられたファームウェアにはマジックパケットによる制御機構が含まれます。
この機構により、SSHバックドア機能などの侵害のための機構は有効にも無効にも変更できます。
このようにして海外拠点のルータが侵害されます。
このあとは攻撃者は自由な活動が可能です。
通信許可された本社側に通信し、本社内の機器へのアクセスを取得するでしょう。
アクセスを入手したら、そこには通常は外部から見ることのできない情報がありますので、それらを入手するということなのかもしれません。
BlackTechはサイバースパイ活動を行っていることで知られているAPTです。
脅威アクターはわらしべ長者のように次々に侵害行為を進めていきます。
なるべく手前の部分でこれらが成り立たないように阻止することが必要に思えます。
また、この例のような動きが始まってしまったら、それぞれの機器に搭載されている機能だけでは事態を把握することは容易ではなさそうです。
ネットワークの通信の様子から起こっている事態を把握することができる機構の導入も有効に思えます。
認証情報を安全に保ち、メンテナンスする、ファームウェアはタイムリーに更新する、監視機構の拡充も計画する、いろいろな手をうち、安全を維持していく必要がありそうです。
参考記事(外部リンク):People’s Republic of China-Linked Cyber Actors Hide in
Router Firmware
www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a
| この記事をシェア |
|
|---|
