中国関連ハッカーがシスコ製ルーターに潜伏:日米当局が注意喚起
米国家安全保障局(NSA)、FBI、CISAは27日、日本の警察庁と内閣サイバーセキュリティセンター(NISC)と共同で、中国のAPTグループ「BlackTech」によるサイバー攻撃に関するアドバイザリを公開。BlackTechは米国や日本の多国籍企業を狙い、エッジデバイスをハッキングし、ファームウェアインプラントを用いて企業ネットワーク内を密かに動き回るという。アドバイザリには、特にシスコ製ルーターを狙った攻撃の詳細や、リスク低減のための対処例などが記されている。
BlackTechとは?
BlackTechはPalmerworm、Circuit Panda、Radio Pandaといった呼び名でも知られる中国の国家支援型APTグループで、遅くとも2010年から米国や東アジア(日本、台湾、香港など)の組織に対するサイバースパイ攻撃を実施してきたことで知られる。同グループはかねてよりカスタムマルウェアやデュアルユースツールを使用したり、Living off the land(環境寄生型)戦術を採用したりして産業、テクノロジー、メディア、エレクトロニクス、電気通信といったセクターの企業や政府機関を標的にしてきたという。
信頼された内部のルーターを通じて企業ネットワークを侵害
アドバイザリによれば、BlackTechは、インターネットに接続されたネットワーク機器に対し、ソフトウェアの脆弱性や設定不備などのさまざまな弱点を突いて標的(米国や日本の多国籍企業)のネットワークへ侵入するという。そして最初の足がかりとなる侵害拠点を構築すると、標的企業の海外子会社で本社との接続のために用いられている小型のルーターを、攻撃者の通信を中継するインフラとして利用して侵害活動を拡大させようとするのだそう。
シスコ製ルーターの悪用
BlackTechはさまざまなメーカーのネットワーク機器を侵害するために脆弱性を調査していると考えられるが、特に、カスタマイズされたファームウェアバックドアを使って複数のシスコ製ルーターを侵害していたとされる。このバックドアは特別に細工されたTCPまたはUDPパケットによってオンオフの切り替えを行うことができ、不要な時はオフにしておくことで検出を避けることが可能になるものとみられる。
また一部のケースにおいて、BlackTechはシスコ製ルーターのファームウェアを、改変されたファームウェアへ取り替えているのが観測されている。ファームウェア取り替えの目的は、自らの悪意ある活動のログを隠蔽し、より長期にわたって標的ネットワークへのアクセスを維持することだと考えられている。さらにBlackTechは、現行のものよりも古いバージョンのファームウェアファイルをインストールすることなどにより、ルーターに内蔵されているセキュリティ機能をバイパスするという手法も使っていたという。
「シスコ製品の脆弱性が悪用された形跡はない」とシスコ
BlackTechの攻撃に関してはシスコ社もセキュリティアドバイザリをリリースしており、シスコ製品の脆弱性が悪用された形跡はないと述べている。同社によれば、攻撃者は、すでに侵害されている盗難認証情報を使って管理者レベルの設定やソフトウェアの変更を行っていたのだという。同社はまた、古いバージョンのファームウェアをインストールするという手法はレガシー製品に対してのみ有効だとも述べている。
(情報源:SecurityWeek “Chinese Gov Hackers Caught Hiding in Cisco Router Firmware”、BleepingComputer “US and Japan warn of Chinese hackers backdooring Cisco routers”、NISC・警察庁「中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について(注意喚起) 」)
9月28日:その他の注目ニュース
Google、今年5件目の盛んに悪用されたChromのゼロデイを修正(CVE-2023-5217)
BleepingComputer – September 27, 2023
Googleは27日にリリースした緊急セキュリティアップデートにおいて、攻撃で悪用されたChromeのゼロデイとしては今年5件目となるゼロデイ脆弱性CVE-2023-5217に対処した。同社は、この脆弱性のエクスプロイトが出回っていることを認識していると述べた。
この脆弱性は、オープンソースのビデオコーデックライブラリlibvpxのVP8エンコーディングにおけるヒープバッファオーバーフローの欠陥に起因するもので、この欠陥により、アプリのクラッシュから攻撃者による任意のコードの実行まで多岐にわたる影響が生じる可能性がある。
同脆弱性の報告者であるGoogle TAGの研究者はこの脆弱性がスパイウェアのインストールのために悪用されたことを明らかにしたが、Google社は、この脆弱性に関わるインシデントについての詳細情報をまだ共有しておらず、「バグの詳細やリンクへのアクセスは、大半のユーザーがアップデートを行うまで制限される可能性がある」と述べている。
同脆弱性はGoogle Chrome 117.0.5938.132で対処され、このアップデートはWindows、Mac、Linuxユーザー向けにStable Desktopチャンネルで全世界にリリースされている。Googleの勧告では、パッチが適用されたバージョンが全ユーザーベースに到達するまで数日から数週間かかる可能性が高いとしているが、BleepingComputerがアップデートを確認したところ、アップデートはすぐに利用可能だったという。なお、デフォルト設定のChromeブラウザにおいては新しいアップデートは自動でチェックされるようになっており、次回起動後に自動的にインストールされる。