https://gigazine.net/news/20230928-chinese-hackers-backdooring-cisco-routers/

以下の内容はhttps://gigazine.net/news/20230928-chinese-hackers-backdooring-cisco-routers/より取得しました。

アメリカの連邦捜査局(FBI)、国家安全保障局(NSA)、サイバーセキュリティ・社会基盤安全保障庁(CISA)および日本の内閣サイバーセキュリティセンター(NISC)と警察庁が合同で、中国政府により支援されているハッカー集団「BlackTech(ブラックテック)」によるサイバー攻撃についての注意喚起を発表しました。

People's Republic of China-Linked Cyber Actors Hide in Router Firmware | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a

中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）
(PDFファイル)https://www.nisc.go.jp/pdf/press/20230927NISC_press.pdf

US and Japan warn of Chinese hackers backdooring Cisco routers
https://www.bleepingcomputer.com/news/security/us-and-japan-warn-of-chinese-hackers-backdooring-cisco-routers/

Backdoored firmware lets China state hackers control routers with “magic packets” | Ars Technica
https://arstechnica.com/security/2023/09/china-state-hackers-are-camping-out-in-cisco-routers-us-and-japan-warn/

BlackTechは、「Palmerworm」「Temp.Overboard」「Circuit Panda」「Radio Panda」などの別称を持つ中国のAPT(Advanced Persistent Threat：高度持続的脅威)グループで、少なくとも2010年から日本、台湾、香港に対してサイバースパイ攻撃を行っていることで知られています。ターゲットとなる分野は広く、日本とアメリカの軍事を支援する組織をはじめ政府、産業、テクノロジー、メディア、エレクトロニクス、電気通信、防衛産業など多岐にわたります。

NISCによると、BlackTechはまずインターネットに接続された機器のソフトウェア的な脆弱(ぜいじゃく)性やネットワーク設定の不備、機器のサポート切れなどに付け込んでネットワークに侵入し、これを足がかりにして企業の海外子会社と本社の通信に使われる信頼された内部ルーターとの接続を確立するとのこと。内部への侵入に成功したBlackTechはその後、トラフィックに紛れてネットワーク上の他の被害者に攻撃を仕掛け、情報を窃取するなどの被害を与えます。

ルーターへの攻撃の際には、ファームウェアの書き換えを行うことで、設定の変更やコマンド実行の履歴を隠ぺいしたり侵害したデバイスのログを抹消したりするといった手口が使われます。

特にCisco製ルーターでは、特別に細工したTCPおよびUDPパケットを送信してSSHバックドアを有効化したり無効化したりすることが確認されており、これによりBlackTechは必要なときだけバックドアを有効にして侵入の検知を回避することを可能としています。

バックドアが仕込まれた改変ファームウェアの読み込みの際には、Cisco製品のメモリにパッチを適用してROMモニタの署名検証機能を回避していることも確認されました。

中国のハッカー集団による侵害を防ぐため、CISAは次の緩和策を講じるよう呼びかけました。
・「transport output none」コマンドをVTY回線に使用して、不要な外部接続を防ぐ。
・デバイス上の送受信トラフィック、特に不正アクセスを監視し、管理システムを仮想LAN(VLAN)で分離する。
・ネットワーク管理者が使用する特定のIPアドレスのみを許可し、ログイン試行を追跡する。
・高度なセキュアブートを備えた機器に移行し、優先して旧型の機器を更新する。
・侵入が疑われる場合は速やかに全てのパスワードとキーを変更する。
・予期せぬ再起動や設定変更などの異常がないか、ログを精査する。
・Network Device Integrity(NDI)という手法を活用して不正アクセス、ソフトウェアの変更、およびハードウェアの変更を検出する。
・定期的にブートレコードとファームウェアのスナップショットを取得し、信頼できる正常なイメージと比較する。

今回の警告を受けて発表したレポートの中で、Ciscoは「BlackTechは管理者の資格情報を取得した後にデバイスを侵害しており、Cisco製品の脆弱性を利用してマルウェアに署名した形跡はありません」と報告したほか、悪意のあるファームウェアのインストールはCiscoの古い製品にしかできないと指摘し、同社の新しい製品には不正なファームウェアの実行を防ぐセキュアブート機能が搭載されていると強調しました。

以上の内容はhttps://gigazine.net/news/20230928-chinese-hackers-backdooring-cisco-routers/より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます

不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14