中国のボルト・タイフーン・ハッカー、米国の重要インフラで5年間検知されずに活動

米国政府は最近、 ボルト・タイフーンと特定される中国国家支援の洗練されたハッキンググループが米国とグアム内の重要インフラネットワークに侵入し、驚くべきことに5年間も検出されなかったことを明らかにした。ボルト・タイフーンの標的となるこれらの重要なシステムは、通信、エネルギー、輸送、上下水管理などのさまざまなセクターにまたがっています。

ボルト・タイフーンの活動の特徴は、典型的なサイバースパイ活動とは異なる、型破りなアプローチにあります。米国当局によると、このグループの戦術は、 重要な機能を妨害する目的で、IT ネットワーク内に足場を確立し、運用技術 (OT) 資産に向かって操作できるようにする計画的な取り組みを示唆しています。

サイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）がファイブ・アイズ情報同盟諸国の支援とともに発表した共同勧告は、状況の深刻さを浮き彫りにしている。このハッカー グループは、Bronze Silhouette、Insidious Taurus、UNC3236、Vanguard Panda、または Voltzite とも呼ばれ、少なくとも 2021 年 6 月から活動しています。

Volt タイフーンの手口には、「Living off the land」（LotL）などの高度な技術の利用が含まれており、悪意のある活動と正当なネットワークの動作を融合させて秘密裏に活動することが可能です。さらに、攻撃の発信元を難読化するために KV ボットネットのようなマルチホップ プロキシを採用しているため、属性の特定が困難になります。

サイバーセキュリティ企業のクラウドストライクは、ボルト・タイフーンが特定の被害者に合わせた広範なオープンソース・ツールに依存していることを指摘し、高度な洗練性と戦略的計画を示していると述べた。このグループは細心の注意を払って偵察を実施し、標的の環境に合わせて戦術を調整し、有効なアカウントと強力な運用上のセキュリティ対策を使用して永続性を維持します。

彼らの主な目的の 1 つは、ネットワーク内の管理者の資格情報を取得し、権限昇格の欠陥を悪用して横方向の移動と偵察を容易にすることです。彼らの長期戦略には、侵害された環境へのアクセスを維持し、検出を回避して不正アクセスを拡大するための技術を継続的に改良することが含まれます。

Volt タイフーンは、認証情報の盗難に加えて、LotL 技術を採用してマルウェアの痕跡を残さないようにし、ステルス性と運用上のセキュリティを強化します。彼らは、侵害された環境内での活動を隠蔽するために、対象のログを削除することまで行い、活動を明らかにする取り組みをさらに複雑にしています。

この暴露は、30か国の地元報道機関になりすました123以上のWebサイトが関与する、PAPERWALLと呼ばれる広範な影響力キャンペーンに関するCitizen Labの調査結果と一致している。これらのウェブサイトは、深セン海梅雲祥媒体有限公司という北京に本拠を置くPR会社にリンクされており、公開後に批判的な記事を削除しながら、親中的なコンテンツを広めている。

ワシントンの中国大使館は偽情報の疑惑を否定しているが、これらの事件は中国のサイバー能力と世界規模での影響力作戦に対する懸念の高まりを浮き彫りにしている。