複数ライセンス割引見積
コンピュータセキュリティ 中国のサイバースパイ集団がラプタートレインボットネットをリリース、米軍と台湾軍を標的に

中国のサイバースパイ集団がラプタートレインボットネットをリリース、米軍と台湾軍を標的に

コンピュータセキュリティMuraまで
翻訳内容:
日本語

衝撃的な展開として、サイバーセキュリティの専門家は、中国政府が支援するスパイグループが画策した大規模なボットネット作戦を発見しました。コードネーム「Raptor Train 」のこのボットネットは、数十万のSOHO(スモールオフィス/ホームオフィス)およびIoT(モノのインターネット)デバイスを侵害し、米国と台湾の重要なインフラを危険にさらしています。このボットネットは主に、軍事、政府、高等教育、通信、防衛産業基盤などの分野を標的にしています。

ラプタートレインは多層的な脅威

ルーメン・テクノロジーズの研究部門であるブラック・ロータス・ラボの報告によると、このボットネットは、Flax Typhoonとして知られる中国のハッカー集団によって構築された。このAPT(Advanced Persistent Threat)集団は、最小限のマルウェアと正規のソフトウェアツールを使用してステルス性を維持しながら台湾の組織に侵入することで悪名高い。ブラック・ロータス・ラボは、このボットネットが2020年5月の開始以来、20万台以上のデバイスに感染したと推定している。ピーク時の2023年半ばには、6万台以上のデバイスが積極的に侵害された。

ボットネットの背後にあるコマンド アンド コントロール (C2) インフラストラクチャは非常に洗練されています。バックエンドは集中型の Node.js プラットフォームで動作し、クロスプラットフォームのフロントエンド ツールであるSparrowが侵害されたデバイスを管理します。Sparrow、リモートでコマンドを実行し、脆弱性を管理し、ファイル転送を容易にし、場合によっては分散型サービス拒否 (DDoS) 攻撃を開始するように設計されています。ただし、ボットネットからの DDoS アクティビティはまだ報告されていません。

IoTデバイスをスパイ活動に利用する

Raptor Train ボットネットは 3 つの層に分かれています。層 1 は、ルーター、モデム、IP カメラ、ネットワーク接続ストレージ (NAS) システムなどの侵害された IoT デバイスで構成されています。これらのデバイスは定期的に入れ替わり、交換されるまで平均 17 日間アクティブのままです。層 2 はエクスプロイト サーバーと C2 ノードを担当し、層 3 はSparrowプラットフォームを介してネットワークを管理します。

ActionTec、ASUS、DrayTek Vigor のモデムや、D-Link、Hikvision、Panasonic の IP カメラなど、20 種類を超えるデバイスが、ゼロデイ脆弱性と既知の脆弱性の組み合わせを利用して悪用されています。Tier 1 ノードを動かすマルウェアはNosediveと呼ばれ、悪名高い Mirai インプラントの亜種です。Nosedive完全にメモリ内で動作するため検出が非常に難しく、MIPS、ARM、SuperH、PowerPC アーキテクチャを含む幅広いデバイスに感染します。

米国と台湾の重要なインフラを標的に

このボットネットは、米国の軍事および政府部門の主要部署、および防衛産業基盤 (DIB) 内の組織を広範囲にスキャンし、標的にしています。Black Lotus Labs の研究者は、米国と台湾を中心に、Atlassian Confluence サーバーや Ivanti Connect Secure アプライアンスなどの脆弱なソフトウェアを悪用することを目的としたボットネットの活動を観察しました。

ある例では、ボットネット運営者はカザフスタンの政府機関を標的にしており、Raptor Train 作戦が世界規模で展開していることが示されています。攻撃はカスタム ツールと高度な技術に依存しているため、ボットネットを特定して無効化することは困難です。

法執行機関と業界の対応

Raptor Train ボットネットの脅威に対応するため、Black Lotus Labs は既知のボットネット ノードとインフラストラクチャからのトラフィックをヌル ルーティングしました。米国の法執行機関は、世界中の重要なインフラストラクチャに対する差し迫った脅威であり続けるこのボットネットの解体に積極的に取り組んでいます。

このボットネットの主な目的はスパイ活動ですが、リモート コマンド実行と脆弱性管理の機能により、潜在的な DDoS 攻撃やその他の破壊的な活動が懸念されています。サイバー セキュリティ コミュニティがこの脅威の監視と軽減を継続する中、米国と台湾の組織は、IoT デバイスとネットワークをさらなる悪用から保護するために警戒を怠ってはなりません。

Raptor Train ボットネットの発見は、今日の相互接続された世界における IoT デバイスの脆弱性をはっきりと思い起こさせるものです。中国のサイバースパイ集団が米国と台湾の重要な分野を標的にしているため、強力なサイバーセキュリティ対策を維持することがこれまで以上に重要になっています。組織は、この高度なボットネットから身を守るために、ネットワークとデバイスに定期的にパッチを適用し、更新する必要があります。

重要なポイント:

  • APT グループ Flax Typhoon は、米国と台湾の軍事機関および政府機関を標的とした Raptor Train ボットネットを構築しました。
  • ルーター、モデム、IP カメラ、NAS システムを中心に、20 万台を超える IoT デバイスが感染しています。
  • ボットネットのインフラストラクチャは堅牢で、リモート管理と悪用にはSparrowプラットフォームなどの高度なツールが使用されます。
  • 米国の法執行機関はボットネットのインフラを無力化するために積極的に取り組んでいます。

    • Flax Typhoon のようなグループの戦術と標的を理解することで、将来のサイバー脅威から重要なインフラストラクチャをより適切に保護できるようになります。

    読み込んでいます...