中国政府の支援を受けた攻撃グループ「ボルト・タイフーン(Volt Typhoon)」がアメリカの重要インフラを標的とした活動を行っているとして、Microsoftが警告を発しています。

Volt Typhoon targets US critical infrastructure with living-off-the-land techniques | Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/

Microsoft warns that China hackers attacked U.S. infrastructure
https://www.cnbc.com/2023/05/24/microsoft-warns-that-china-hackers-attacked-us-infrastructure.html

Microsoftによると、ボルト・タイフーンは2021年半ばから活動を開始。標的はグアムをはじめとした、アメリカの重要インフラ組織で、詳細な内訳は政府組織や公益事業から通信、情報技術、海事、運輸、建設、製造、教育と多岐にわたっています。

確認された活動は、脅威アクターがスパイ活動を行い、できるだけ長く見つからずにアクセスを維持しようとしていることを示唆するものだとのこと。

Microsoftの報告では、ボルト・タイフーンはセキュリティ企業・Fortinetの提供している「FortiGuard」の無名の脆弱(ぜいじゃく)性を利用して標的組織へ侵入。対象の環境にアクセス可能になると、コマンドラインを介してユーザーの資格情報を盗み出し、その情報を利用して他のシステムへの侵入を試みます。

Microsoftは、影響を受ける当事者にすでに通知を行ったとのこと。

この件はアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)なども把握済み。CISAによれば、この種の活動はアメリカ国外でも発生している可能性があるとのことです。

People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a

なお、中国の国家利益のために活動する脅威アクターとしては「Soft Cell」「Naikon APT group」「Emissary Panda」などの名前が知られています。

「中国の国家利益」のためにサイバー攻撃やスパイ活動を行う3つのグループとは？ - GIGAZINE

直近では「カマロドラゴン(Camaro Dragon)」というグループが、ルーター経由でヨーロッパの外交機関に対する標的型サイバー攻撃を行ったことがわかっています。

中国政府の支援を受けたサイバー攻撃グループ「カマロドラゴン」がルーターにバックドアを設けネットワーク侵害を行っている - GIGAZINE