2023 年 11 月 20 日
2023 年 9〜10 月の脅威動向と代表的な攻撃(前編)
~ 日米共同のサイバーセキュリティ勧告で「BlackTech」が Cisco 機器にバックドアをインストールしていると警告 ~
2023 年 9~10 月の脅威動向を見るために、記事末尾で 9~10 月の代表的なインシデント・攻撃等を羅列しています。もちろんこれらは代表的なものであり、その他にも多くのインシデントが発生しています。
今回は 9~10 月に発生した中でも
● BlackTech ハッカーに対する日米共同のサイバーセキュリティ勧告
● ソニーがハッカーグループによる攻撃を受けてデータが流出
の2つを見てみたいと思います。
後編 ~ ソニーがハッカーグループによる攻撃を受けてデータが流出 ~ はこちら
1. 日米共同のサイバーセキュリティ勧告で「BlackTech」が Cisco 機器にバックドアをインストールしていると警告
中国が背後に居る脅威アクター「BlackTech」が Cisco のネットワーク機器にバックドアをインストールしているという警告が、日米共同のサイバーセキュリティ勧告という形で出されています。
以下で、こちらのセキュリティ勧告の情報を簡単にまとめます。
1-1. エグゼクティブ サマリー
| 項目 | 内容 |
|---|---|
| Who(誰が) | 中国が背後に居ると言われている BlackTech(別名 Palmerworm、Temp.Overboard、Circuit Panda、Radio Panda) |
| When(いつ) | 2010 年ごろから長期に渡って活動を行っている |
| Where(どこで) | 主に台湾や日本・香港等をターゲットとして活動している |
| What(何を) | 重要な文書を盗むスパイ行為 |
| Why(なぜ) | 政治的な意図で行っていると思われる |
| How(どのように) | ネットワーク機器の脆弱性などを突いて侵入。Cisco ルータのファームウェアを不正なものに書き換えてバックドアを設置。そこを足がかりにスパイ活動を行う |
| 回避策 | ブートローダーとファームウェアの不正なダウンロードと再起動がないかネットワークデバイスを監視する。また SSH を含むルーター宛ての異常なトラフィックも監視を行う |
1-2. Who(誰が)
中国が背後に居ると言われている BlackTech(別名 Palmerworm、Temp.Overboard、Circuit Panda、Radio Panda)と呼ばれる脅威アクターでありサイバースパイになります。
BlackTech は東アジアをターゲットとして活動しており、主に台湾や日本・香港等をターゲットとして活動しているサイバースパイ集団です。 2012 年から活動を開始し、これまでに台湾の政府機関や民間組織をターゲットにしています。
これまでの活動では下記のような大規模なキャンペーンが観測されています。
- PLEAD
2012 年から活動が観測されており、2014 年には台湾政府等を標的とした活動を行っている。複数のマルウエア種別名(TSCookie を含む)とそのマルウエアを使用した、機密文書の窃取を目的とした標的型攻撃キャンペーン。 - Shrouded Crossbow
2010 年から活動が観測されているキャンペーン。政府関連の業者や民営化機関、家電製品やコンピュータメーカー、医療関係、金融系など幅広い対象が狙われています。バックドア型マルウェア「BIFROST(バイフロスト)」のソースコードを購入したと思われ、BIFROST に由来する 3 つのバックドア型マルウェア、「BIFROSE(バイフローズ)」、「KIVARS(キヴァース)」、「XBOW(エックスボウ)」が利用されています 。 - Waterbear
2010 年 10 月以降活動が確認されている標的型攻撃キャンペーン。その他の攻撃キャンペーンと同様に、それぞれの役割を担うマルウェアを組み合わせた手法を採用しています。
複数のマルウェアを組み合わせた手法が特徴となっており、標的から重要な文書を盗むことを目的として活動している様です。
<参考情報>
- Malpedia: 「BlackTech」
- JPCERT/CC ブログ:攻撃グループ BlackTech が使うマルウエア PLEAD ダウンローダ (2018-05-28)
- トレンドマイクロブログ: 台湾の政府機関を狙った標的型攻撃キャンペーン「PLEAD」を確認
- トレンドマイクロセキュリティブログ:「BlackTech」によるサイバー諜報活動の足跡を追う
1-3. When(いつ)
2010 年から長期に渡って頻繁に、重要文書を盗むことを目的としたキャンペーンを行っています。
1-4. Where(どこで)
主に台湾や日本・香港等をターゲットとして活動しています。
1-5. What(何を)
主に政府関連の業者や民営化機関、家電製品やコンピュータメーカー、医療関係、金融系等から重要な文書を盗むスパイ行為を目的として活動している様です。
1-6. Why(なぜ)
金銭等の脅迫等は行っておらず、東アジアの国々で中国と敵対する可能性がある国家(台湾、日本等)を対象としていることから、政治的背景が目的にあるものと考えられます。
1-7. How(どのように)
BlackTech 脅威アクターは、米国と日本の軍事関連組織を含む、政府、産業、テクノロジー、メディア、エレクトロニクス、通信部門を標的にしています。 BlackTech 脅威アクターは、カスタムマルウェアや各種ツール、およびルータのログ記録を無効にするなどの戦術を使用して自分たちの活動を隠蔽しています。
今回、BlackTech 脅威アクターが日本や米国の主な機関のルーターのドメインの信頼関係を悪用し、ルーターのファームウェアを変更してアクティビティを隠蔽していることを CISA が確認したため、セキュリティアドバイザリが出されています。
初期侵入
BlackTech は、インターネットに接続されたネットワーク機器に対してソフトウェア等の脆弱性を狙う他、ネットワーク設定の欠陥、サポートの切れた機器・ソフトウェアなど、標的ネットワークの様々な脆弱な点を突いて侵入します。
参考資料
TTP 説明
ファームウェア置き換えのプロセス
BlackTech 脅威アクターは次のファイルタイプを利用してルーターを侵害します。これらのファイルは、FTP または SSH を用いてルーターにダウンロードされます。
- ルータを侵害するファイルの種類
| ファイルタイプ | 説明 |
|---|---|
| 古い正規のファームウェア | 改変されたファームウェアと改変されたブートローダーのインストールが許可される様に Cisco IOS イメージ形式のファームウェアがメモリ内で変更されます。 |
| 改変されたファームウェア | ファームウェアには SSH バックドアが組み込まれており、悪意のある攻撃者はログに記録されずにルーターの操作ができます。 |
| 改変されたブートローダー | ブートローダーにより、改変されたファームウェアはルータのセキュリティ機能を回避し続けることができ、再起動後も持続します。 場合によっては、改変されたファームウェアのみが使用されます。 |
BlackTech 脅威アクターは、Cisco の CLI を使用してルータの IOS イメージファームウェアを改変されたものに置き換えます。改変されたブートローダ/ファームウェアが検出されずにインストールされるようにするために、BlackTech 脅威アクターは古い正規のファームウェアをインストールし、メモリ内で実行中のファームウェアを変更して、Cisco ROM Monitor(ROMMON)の署名検証機能によるチェックをバイパスします。
置き換えのステップは以下になります(コマンド等の画面は参考情報の CISA Security Advisory から引用しています)。
- 古い正規のファームウェアをダウンロードします。
- 古い正規のファームウェアをロードするようにルーターを設定し再起動します。
config t no boot system usbflash0 [filename] boot system usbflash0 [filename] end write reload
- 改変されたブートローダーと改変されたファームウェアをダウンロードします。
- 以下のコマンドを使用して、改変されたファームウェアをロードするようにルーターを設定します。
- 次のように改変されたブートローダーをロードします (ルーターは自動的に再起動されます)。
- 外部からルータへ特別に細工されたトリガーパケット(UDP データ、又は TCP シーケンス番号内の特定の値と、TCP オプションフィールド内の MSS パラメータを持つ)を送信してアクセスを有効にします。
conf t no boot system usbflash0 [filename] boot system Usbflush0 [filename) end write
upgrade rom file bootloader
改変されたファームウェア
BlackTech 脅威アクターは、ルーターのログ機能を迂回して SSH 経由のアクセスを可能にするような、改変された IOS イメージ ファームウェアをインストールします。ファームウェアは、埋め込み IOS イメージをロードする Cisco IOS ローダーで構成されています。
BlackTech 脅威アクターは、埋め込まれた Cisco IOS イメージ内の数種の関数をフックして独自のコードにジャンプします。これにより既存のコードを上書きして
- トリガーパケットの処理
- SSH によるバックドアの実装
- 侵害したルーターのログ機能の迂回
を行います。SSH バックドアには、追加の認証を必要としない特別なユーザー名が含まれています。
MITRE ATT&CK テクニック(TTP)
BlackTech のサイバー攻撃者はカスタマイズしたマルウェアペイロードとリモートアクセス ツール (RAT) を使用します。
以下に MITRE ATT&CK の表を示します。
- BlackTech ATT&CK Techniques for Enterprise - リソースの開発
| Technique | ID | 説明 |
|---|---|---|
| 機能の取得:コード署名証明書 | T1588.003 | BlackTech 攻撃者は、盗んだコード署名証明書を使用してペイロードに署名し、防御を回避します。 |
- BlackTech ATT&CK Techniques for Enterprise - 初期アクセス
| Technique | ID | 説明 |
|---|---|---|
| 初期アクセス | TA0001 | BlackTech 脅威アクターはルーターを悪用して被害者のネットワークにアクセスします。 |
| 信頼関係 | T1199 | BlackTech 脅威アクターは、ルーターでの信頼されたドメインの関係を悪用して、被害者のネットワークにアクセスします。 |
- BlackTech ATT&CK Techniques for Enterprise - 持続
| Technique | ID | 説明 |
|---|---|---|
| 持続 | TA0003 | BlackTech 脅威アクターは被害者のネットワークへの永続的なアクセスを得ます。 |
| トラフィック・シグナリング | T1205 | BlackTech 脅威アクターは、特別に細工したパケットを送信して、侵害したルーターのバックドア機能を有効または無効にします。 |
| Pre-OS Boot: ROMMONkit | T1542.004 | BlackTech 脅威アクターは、永続性を維持するためにルーターのファームウェアを変更します。 |
- BlackTech ATT&CK Techniques for Enterprise - 権限昇格
| Technique | ID | 説明 |
|---|---|---|
| 権限昇格 | TA0004 | BlackTech 脅威アクターは被害者のネットワーク上で権限の昇格を行います。 |
- BlackTech ATT&CK Techniques for Enterprise - 防衛回避
| Technique | ID | 説明 |
|---|---|---|
| 防衛回避 | TA0005 | BlackTech 脅威アクターはセキュリティソフトウェアや EDR による検出を回避するようにツールを設定します。 |
| レジストリの変更 | T1112 | BlackTech 脅威アクターは、被害者のレジストリを変更します。 |
| 防御の弱体化 | T1562 | BlackTech 脅威アクターは、検出を回避し防御を迂回するために、侵害したルーターでのログ記録を無効にします。 |
| システムイメージの変更:システムイメージへのパッチ | T1601.001 | BlackTech 脅威アクターは、検出を回避するためにルータのファームウェアイメージを変更します。 |
- BlackTech ATT&CK Techniques for Enterprise - 探索
| Technique | ID | 説明 |
|---|---|---|
| 探索 | TA0007 | BlackTech 脅威アクターは SNScan を使用して被害者のネットワークを列挙し情報を取得します。 |
- BlackTech ATT&CK Techniques for Enterprise - 水平移動
| Technique | ID | 説明 |
|---|---|---|
| リモートサービス:Remote Desktop Protocol | T1021.001 | BlackTech 脅威アクターは RDP を用いて被害者のネットワークを水平移動します。 |
| リモートサービス:SSH | T1021.004 | BlackTech 脅威アクターは SSH を用いて被害者のネットワークを水平移動します。 |
- BlackTech ATT&CK Techniques for Enterprise - コマンド&コントロール
| Technique | ID | 説明 |
|---|---|---|
| コマンド&コントロール | TA0011 | BlackTech 脅威アクターは被害者のネットワークインフラを侵害し、制御します。 |
| アプリケーションレイヤプロトコル:FTP | T1071.002 | BlackTech 脅威アクターは FTP を使用して、被害者のネットワーク経由でデータを移動したり、ルーターを侵害するためのスクリプトを配信します。 |
| プロキシ | T1090 | BlackTech 脅威アクターは侵害したルーターをプロ棋士として使用してトラフィックを流します。 |
IoC
IoC は CISA のアドバイザリ「People's Republic of China-Linked Cyber Actors Hide in Router Firmware」に載っています(分量が多いので、本記事では割愛させていただきます)。
<参考情報>
1-8. 確認方法と軽減策
セキュリティアドバイザリでは、この BlackTech の悪意のあるアクティビティを検出するための検出および軽減手法を推奨しています。
- 「transport Output none」という設定を適用して、VTY 接続したユーザが他のルータへ接続できないようにします。
- ネットワークからの外部システムと内部システムの両方への Inbound/Outbound を監視します。可能であれば、ACL 等を適用して、ネットワークデバイスからの不正な接続をブロックします。更に管理システムを別の VLAN に配置して、非管理 VLAN 宛ての未承認のトラフィックをすべてブロックします。
- VTY ポートまたは特定のサービスに ACL を適用することで、管理サービスへの IP アドレスによるアクセス制限を行います。また「login on-failure log」および「login on-success log」設定を適用するか、別途認証/認可/アカウンティング(AAA)イベントを確認することによって、ログインの成功/失敗とログを監視します。
- ブートローダーとファームウェアの整合性と信頼性のチェックが強化された新しい機器にアップグレードします。 特に全ての耐用年数が終了した機器やサポート対象外の機器はできるだけ早く交換しましょう。
- 何らかのパスワードが漏洩した可能性がある場合は、全てのパスワードとキーを変更してください。
- ネットワークデバイスによって生成されたログを確認し、不正な再起動/OS のバージョンの変更/設定の変更/ファームウェアの更新の試行等を監視します。
- ネットワーク デバイス上で保存および実行されているソフトウェアに対する不正な変更を検出します。
- ファームウェアの変更を監視します。ブートレコードとファームウェアのスナップショットを定期的に取得し、既知の正常なイメージと比較します。
今回の攻撃に関して確実に検出を行うには、ブートローダーとファームウェアの不正なダウンロードと再起動がないかネットワークデバイスを監視する必要があります。また SSH を含むルーター宛ての異常なトラフィックも監視する必要があります。
1-9. 参考情報
- CISA Security Advisory: People's Republic of China-Linked Cyber Actors Hide in Router Firmware
- Malpedia: 「BlackTech」
- JPCERT/CC ブログ: 攻撃グループ BlackTech が使うマルウエア PLEAD ダウンローダ (2018-05-28)
- トレンドマイクロブログ: 台湾の政府機関を狙った標的型攻撃キャンペーン「PLEAD」を確認
- トレンドマイクロセキュリティブログ:「BlackTech」によるサイバー諜報活動の足跡を追う
- 警察庁: 中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について
この記事の著者
OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅
本記事に関連するリンク
