Volt Typhoon
From Wikipedia, the free encyclopedia
Volt Typhoon(ボルト タイフーン、別名: VANGUARD PANDA、BRONZE SILHOUETTE、Redfly、Insidious Taurus、Dev-0391, Storm-0391、UNC3236、VOLTZITE)は、中国を代表してサイバースパイ活動に従事していると報告されている持続的標型攻撃(APT)グループである。少なくとも2021年半ばから活動しており、主にアメリカ合衆国の重要インフラを標的にすることで知られている[1][2] 。Volt Typhoonはスパイ活動、データ盗難、認証情報の窃取に重点を置いている。[3]
マイクロソフトによると、このグループは検知を回避するために労力を費やしており、その活動は、将来起こりうる危機において、中国が米国とアジア間の重要インフラである通信インフラを妨害する能力を確保することを優先している[3] 。米国政府は、このグループの目的が台湾有事に続く可能性のある米軍の動員を遅らせることであると考えている[4] 。Volt Typhoonは中国人民解放軍サイバー戦略支援部隊によって運営されていると考えられている[5] 。中国政府は、このグループの存在を否定している[6]。
Volt Typhoonは現在マイクロソフトによって割り当てられている名称であり、このグループの呼称として最も広く使用されている。このグループは、様々に以下のように呼ばれてきた。[7]
手法
ファイブ・アイズの全サイバーセキュリティおよびシギント機関による共同発表によると、Volt Typhoonの中核となる戦術・技術・手順(TTPs)には、Living Off The Land(LotL:環境寄生型)が含まれ、組み込みのネットワーク管理ツールを使用して目的を遂行し、通常のWindowsシステムやネットワーク活動に紛れ込む。この戦術により、ホストへのサードパーティ製アプリケーションの導入時に警告を発するEDRプログラムを回避し、デフォルトのログ設定で捕捉される活動の量を制限する。Volt Typhoonが使用する組み込みツールには、wmic、ntdsutil、netsh、PowerShellなどがある[9]。
このグループは当初、脆弱な管理者パスワード、工場出荷時のデフォルトログイン、定期的に更新されていないデバイスなどの脆弱性を悪用して、インターネットに接続されたシステムに侵入するマルウェアを使用する[10] 。標的にアクセスすると、ステルス性を強く重視し、ほぼ完全に環境寄生型攻撃の手法とハンズオンキーボード活動に依存する[10]。
Volt Typhoonは、侵入後の活動でマルウェアを使用することはほとんどない。代わりに、コマンドライン経由でコマンドを発行し、まずローカルおよびネットワークシステムから認証情報を含むデータを収集し、そのデータをアーカイブファイルにまとめて持ち出しの準備を行い、その後、盗んだ有効な認証情報を使用して持続性を維持する[3][11] 。これらのコマンドの一部は、オペレーターが何度も調整・反復するため、探索的または実験的なものと見られる。さらに、Volt Typhoonは、ルーター、ファイアウォール、VPNハードウェアなど、侵害したSOHO(小規模オフィス・ホームオフィス)のネットワーク機器を介してトラフィックをルーティングすることで、通常のネットワーク活動に紛れ込もうとする[12] 。また、オープンソースツールのカスタムバージョンを使用して、プロキシ経由でC&Cサーバチャネルを確立し、さらに潜伏を続けることも確認されている[3][10]。
多くの点で、Volt Typhoonは従来のボットネットオペレーターと同様に機能し、ルーターやセキュリティカメラなどの脆弱なデバイスを乗っ取り、将来の攻撃を開始するためのシステムとして使用する前に、隠れて足がかりを築く。このような方法で活動することにより、サイバーセキュリティの防御担当者が攻撃元を正確に特定することは困難になる。[10]
セキュアワークス(デルの一部門)によると、Volt Typhoonがオペレーションズ・セキュリティに関心を持つのは、「(中国の国家支援ハッカーに対する)米国の相次ぐ起訴による当惑と、自らのサイバースパイ活動が公の目に晒されることを避けたいという中国指導部からの圧力の高まりに起因する可能性が高い」という[13]。
サイバーセキュリティ研究者のライアン・シャーストビトフによると、「発見されると姿を消す攻撃者とは異なり、この敵は発覚するとさらに深く潜り込む」という[14]。