中国の「Typhoon」ハッカーグループ:Volt Typhoon、Flax Typhoon、Salt Typhoonの概要や注目ポイント
昨年10月以降に大きく取り上げられたサイバーセキュリティ関連のニュースといえば、中国のアクターSalt Typhoonによる米通信事業者の大規模ハッキング。今年に入ってからも新たな被害企業が報じられるなど、引き続き注目を集めている。本記事ではこれに関連して、中国政府との繋がりが指摘される3組の「Typhoon」グループ、①Volt Typhoon、②Flax Typhoon、③Salt Typhoonについて簡単に概要などをまとめた。
Volt Typhoon
概要
- 別称:BRONZE SILHOUETTE、Vanguard Panda、Dev-0391、Insidious Taurus、Voltzite、UNC3236
- 活動開始時期:遅くとも2021年〜(米諜報界では5年以上の活動歴がある可能性も指摘されている)、マイクロソフトが2023年5月に初めて特定
- 主な標的:米国およびグアム含む同国の領土内の重要インフラ
- 主な戦術、攻撃手法:Webシェルの利用、Living off the Land(LOTL)バイナリの利用、ハンズオンキーボード活動の実施、盗難認証情報の使用など
昨年の主なイベント
【KV Botnetのテイクダウン】
2024年1月、米政府はVolt Typhoonが使用していたボットネット「KV Botnet」を停止させることに成功したと発表。このボットネットは米国の重要インフラを標的としたVolt Typhoonの悪意ある活動を隠すために使われていたもので、米国内のSOHOルーター数千〜数万台をハイジャックすることによって構築されていた。米FBIは裁判所の許可を得てこれらのルーターからリモートでKV Botnetマルウェアを削除し、追加の措置も講じてルーターとボットネットの接続を切断したとされる。
詳しくはこちらの記事で:米政府、中国APT Volt Typhoonが用いていたSOHOルーターボットネットをテイクダウン
注目ポイント
【単なるサイバースパイグループではない?】
FBIのレイ長官(当時)によると、Volt Typhoonは重要インフラ組織を侵害することによってただ米国から機密性の高い情報を盗み取ろうとしているだけでなく、米軍の「動員能力」を阻害するための準備をしているものとみられるという。またMandiant社のトップアナリストであるJohn Hultquist氏は、「(Volt Typhoonは)命令が下された際に主要なインフラサービスを停止させられるよう、センシティブな重要インフラを調査している」と指摘した。このように、同グループの最終目標は万が一軍事紛争や地政学的緊張が発生した場合に、米国の重要インフラの働きを妨害することだろうとの見方がなされている。なお、狙われている組織の多くは通信、エネルギー、運輸、水道/下水道分野の組織。
【高いステルス性】
米CISA、NSAなどが公開したVolt Typhoonに関する共同アドバイザリによると、同グループは米国の重要インフラネットワークに少なくとも5年間潜伏していたという。このステルス性は、ターゲット組織とその環境を徹底的に偵察してからTTPを調整して攻撃に挑むことや、強力なOPSECおよびLOTL戦術の利用などにより検出を回避することなどによって達成される。
詳しくはこちらの記事で:中国ハッカーVolt Typhoon、米国重要インフラネットワークに5年間潜伏
【グアムを重視】
2025年1月までに、米国はVolt Typhoonによるものとされる同国組織への侵入行為を100件以上発見していると報じられているが、その大部分はグアム島内の組織を狙ったものだという。その標的には、同島における主要な電力当局や島内最大の携帯電話会社のほか、グアムに拠点を置く複数の米連邦政府ネットワーク(防衛システム含む)などが含まれるとされる。またこれらの攻撃ではそれまで使われたことのなかった新しい種類のマルウェアが使用されていることからも、Volt Typhoonがグアム島をかなり重要視していることが伺えるという。
Flax Typhoon
概要
- 別称:Ethereal Panda、Red Juliet、Storm-0919、UNC5007
- 活動開始時期:遅くとも2021年半ばから。ただし、マイクロソフトの2023年8月のレポートによって初めてその存在が世に知られるようになった
- 主な標的:台湾の政府機関、教育関係の組織、重要な製造部門の組織、情報テクノロジー関連の組織。東南アジアや北米、アフリカでも数組の被害組織あり。
- 主な戦術、攻撃手法:Living off the Land(LOTL)戦術の利用、ハンズオンキーボード活動の実施、既知の脆弱性の悪用、Webシェルの展開など
昨年の主なイベント
【Raptor Trainの制御】
米FBIは2024年9月、Flax Typhoonが使用していたボットネット「Raptor Train」を制御したと発表。Raptor Trainはルーターやモデム、IPカメラ、NASなどのSOHOデバイスや消費者向けデバイス26万台で構成されていた巨大ボットネットで、FBIは感染したデバイスを特定し、裁判所の許可を得た上でマルウェアを排除するためのコマンドを実行してこれらのデバイスを制御したとされる。
詳しくはこちらの記事で:26万台のSOHOルーターやIPカメラに感染した中国のボットネットをFBIらが制御
注目ポイント
【北京の「サイバーセキュリティ企業」を隠れ蓑に活動】
米当局によると、Flax Typhoonが実施した近年の重要インフラハッキングは、北京を拠点とする公開サイバーセキュリティ企業を隠れ蓑にして行われていたとされる。「Integrity Technology Group(Integrity Tech)」と呼ばれる当該企業は、ボットネットRaptor Trainの運用・制御を担っていたとされ、米政府は2025年1月3日、同社に制裁を科すことを公表した。
【米国の重要インフラも標的に】
Flax Typhoonの主な標的は台湾とされているが、米当局は同グループが米国の重要インフラも攻撃対象にしていると述べている。2022年夏から2023年秋にかけて、米国およびヨーロッパの被害者に関連する複数のホストが同グループによる不正アクセスを受けたほか、2023年夏には、カリフォルニア州を拠点とする被害者の複数のサーバーおよびワークステーションが侵害されたという。
Salt Typhoon
概要
- 別称:Earth Estries、GhostEmperor、UNC2286、FamousSparrow
- 活動開始時期:遅くとも2019年〜
- 主な標的:北米、南米、東南アジア地域などのホスピタリティ、政府、電気通信業界。特に米国の電気通信事業者
- 主な戦術、攻撃手法:DLLサーチオーダーハイジャッキング、既知の脆弱性の悪用、カスタムメイドツールや正規ツールの利用など
昨年の主なイベント
【米通信事業者のハッキング】
Salt Typhoonは昨年10月以降、ベライゾンやAT&T、Lumenなど米国の大手通信事業者を侵害したとして度々ニュースを騒がせた。ネットワークに侵入後、同グループは通話やテキストメッセージに関するメタデータなどを窃取したとされる。通話記録を盗み取られた者の中には、米政府の高官も含まれると報告されている。
詳しくは以下の記事で:
注目ポイント
【米国の通信事業者9社と数十か国の通信キャリア数社が標的に】
米政府の公式発表によると、Salt Typhoonによる一連のハッキングキャンペーンの標的になったのは同国の電気通信企業9社と、その他数十か国の通信キャリア数社。当局は具体的な社名を明かしていないものの、前述の通りベライゾンやAT&T、ルーメンの被害が報告されているのに加え、2025年1月には米インターネットプロバイダーのチャーター・コミュニケーションズおよびWindstreamもSalt Typhoonの被害者である旨が新たに報じられた。
【最もアグレッシブな中国のAPT】
米通信事業者に対するキャンペーンだけを見ても同グループの攻撃力は明らかだが、それだけでなくSalt Typhoonは2023年以降、アジア太平洋地域や中東、南アフリカ、およびその他地域における電気通信事業者や政府機関のほか、テクノロジー、コンサルティング、化学、運輸の各セクターに対してサイバースパイ攻撃を仕掛けてきたとされている。トレンドマイクロ社はこうした事実を踏まえ、同グループを「最もアグレッシブな中国のAPTの1つ」と形容している。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価