中国ハッカーVolt Typhoon、米国重要インフラネットワークに5年間潜伏
BleepingComputer – February 7, 2024
米CISA、NSA、FBIとファイブアイズの諸機関が、中国のサイバースパイグループVolt Typhoonについて注意喚起する共同アドバイザリをリリース。これによれば、Volt Typhoonは米国の重要インフラネットワークを侵害し、発見されるまでの間5年間にわたって潜伏を続けていたという。
共同アドバイザリでは、主に以下のような項目が報告されている:
- Volt Typhoonは、重要インフラ組織への攻撃において、もっぱら環境寄生型(Living off the Land / LOTL)攻撃のテクニックを使うことで知られる。
- 盗難アカウントを利用したり強力なOPSECを活用することにより検出を回避し、長期間にわたって標的システムでの永続性を保つ。実際に米国の重要インフラ組織のIT環境には、同アクターが少なくとも5年間アクセスおよび足場を維持していた形跡が観測されている。
- Volt Typhoonは、ターゲット組織とその環境について理解するために侵入前に広範な偵察を行い、被害者の環境に合わせて戦術、技術、手順(TTP)を調整する。
- 同グループは米国の複数組織のネットワークを侵害することに成功しているが、狙われている組織の多くは通信、エネルギー、運輸、水道/下水道分野の組織。
- Volt Typhoonの標的や戦術は典型的なサイバースパイ活動とは一線を画しており、米当局などは同グループの最終目的が重要インフラを妨害する(特に軍事紛争や地政学的緊張の発生時に)ことにあると考えている。
このほか、アドバイザリではVolt Typhoonのテクニックを検出するための情報を含むガイドや、LOTL戦術を用いる攻撃者から自組織を守るための緩和策などが提供されている。