中国政府系ハッカー集団「ボルト・タイフーン」がネットワーク運用サービス「Versa Director」の脆弱性を利用してアメリカを標的にゼロデイ攻撃を行っているという指摘

中国政府の支援を受けているハッカー集団「ボルト・タイフーン(Volt Typhoon)」が、インターネットサービスプロバイダー(ISP)やマネージドサービスプロバイダー(MSP)などで使用されているネットワーク運用のためのプラットフォーム「Versa Director」のゼロデイ脆弱(ぜいじゃく)性を悪用した攻撃、いわゆるゼロデイ攻撃を行ったと指摘されています。

Versa Security Bulletin: Update on CVE-2024-39717 – Versa Director Dangerous File Type Upload Vulnerability - The Versa Networks Blog
https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/

Taking the Crossroads: The Versa Director Zero-Day Exploitation - Lumen
https://blog.lumen.com/taking-the-crossroads-the-versa-director-zero-day-exploitation/

New 0-Day Attacks Linked to China’s ‘Volt Typhoon’ – Krebs on Security
https://krebsonsecurity.com/2024/08/new-0-day-attacks-linked-to-chinas-volt-typhoon/

China’s Volt Typhoon reportedly targets US internet providers using Versa zero-day
https://therecord.media/versa-zero-day-volt-typhoon-china

報告によると、Versa DirectorにはProvider-Data-Center-AdminまたはProvider-Data-Center-System-Adminの特権を持つユーザーが、潜在的に悪意あるファイルをアップロード可能な脆弱性があったとのこと。この脆弱性は「CVE-2024-39717」として報告され、Versaはパッチをリリースしています。しかし、パッチを当てる以前に、持続的標的型脅威(APT)攻撃アクターによって、少なくとも1つの既知のインスタンスで悪用されたとのこと。
s
標的としては、アメリカ国内のISPやMSP、情報技術セクターが4件、アメリカ国外のものが1件確認されています。

脆弱性が悪用されていることを発見した通信事業者・Lumen TechnologiesのBlack Lotus Labsチームによると、ITインフラのサービス事業者を標的としたゼロデイ攻撃や、メモリ内でのみ実行されるJavaベースのバックドアなど、中国政府系ハッカー集団による攻撃の特徴が現れており、「ボルト・タイフーン」が中程度以上の確度で侵入に関与していると考えられるとのことです。

サイバーセキュリティ・社会基盤安全保障庁(CISA)のジェン・イースタリー長官は、中国と台湾との間で緊張が高まるのに伴い、中国が台湾の同盟国、つまりアメリカに対する破壊的な攻撃の方法を模索するようになったと指摘しています。

なお、中国当局は「ボルト・タイフーン」なる集団の存在そのものが西側の諜報(ちょうほう)機関によって生み出されたもので、攻撃を行っているのは実際にはランサムウェアギャングではないかという見解を示しています。