セキュリティ

中国のハッカーがMicrosoft Exchange Serverなどの脆弱性を利用してアメリカ政府を攻撃していたことが判明


中国の国家安全部とつながりのあるハッキンググループによって実行された攻撃について、アメリカのサイバーセキュリティおよびインフラストラクチャーセキュリティ庁(CISA)は2020年9月14日、セキュリティ勧告を発表しました。ハッキンググループはMicrosoft Exchange Serverのほか、Pulse SecureCitrixのVPN、F5ネットワークスのBIG-IP製品シリーズなどの脆弱性を利用し、政府機関や民間企業を攻撃しているとのことです。

Chinese Ministry of State Security-Affiliated Cyber Threat Actor Activity | CISA
https://us-cert.cisa.gov/ncas/alerts/aa20-258a


Feds Warn Nation-State Hackers are Actively Exploiting Unpatched Microsoft Exchange, F5, VPN Bugs | Threatpost
https://threatpost.com/hackers-gov-microsoft-exchange-f5-exploits/159226/

Hackers Connected to China Have Compromised U.S. Government Systems, CISA says - Nextgov
https://www.nextgov.com/cybersecurity/2020/09/hackers-connected-china-have-compromised-us-government-systems-cisa-says/168455/

US govt: China-sponsored hackers targeting Exchange, Citrix, F5 flaws
https://www.bleepingcomputer.com/news/security/us-govt-china-sponsored-hackers-targeting-exchange-citrix-f5-flaws/

CISAの勧告によると、ハッキンググループはまず、デバイス検索エンジンの「Shodan」や「Common Vulnerabilities and Exposures(CVE)」「National Vulnerability Database(NVD)」といったデータベースを利用して脆弱性を持つデバイスを見つけ出します。

CISAが確認している、主なターゲットとなった脆弱性は以下の通り。

CVE-2020-5902(F5 BIG-IP)
CVE-2019-19781(Citrix)
CVE-2019-11510(Pulse Secure)
CVE-2020-0688(Microsoft Exchange Server)

ハッキンググループは脆弱性を介してネットワークに接続したあと、「Cobalt Strike」と呼ばれる攻撃フレームワークやWebシェルの「China Chopper」、管理者の資格情報を取得する「Mimikatz」といったツールを用いて、ネットワークの完全なコントロールを手に入れようと試みるとのこと。CISAはMicrosoft Exchange Serverの「CVE-2020-0688」を利用して連邦政府機関のサーバーからメールを収集する動きが見られたことも報告しており、ハッカーたちが試みた組織ネットワークや収集データへのアクセスのうち、いくつかが成功したと述べています。

CISAは「重大な脆弱性に対しパッチが施されない場合、攻撃者はカスタムマルウェアを開発したり、これまでに見つかっていない脆弱性を探しだす必要なしに、攻撃を成功させることができます」と述べ、上記の脆弱性が利用されることを防ぐべく、政府機関や民間企業に対しパッチの適用を呼びかけました。


一方で、ハッキンググループはデバイスの脆弱性をターゲットとする方法以外にも、従来型のスピア・フィッシングや弱い資格情報を狙った総当たり攻撃を含めたさまざまな方法により攻撃を行っていると、CISAは警告しています。

また、CISAのTerence Jackson氏はCISAの助言が「組織はパッチ管理を最新にしておく必要があるという事実に光をあてたもの」と述べています。Jackson氏は(PDFファイル)Check Point Researchのレポートに言及し、2020年の上半期に報告された攻撃の80%が2017年までに登録されていた脆弱性を利用したものであり、全体の20%以上が7年前以上前に報告された脆弱性を利用していたことを指摘しました。

この記事のタイトルとURLをコピーする

・関連記事
Microsoftが「ロシア・中国・イランのハッカー組織から大統領選がサイバー攻撃を受けている」と報告 - GIGAZINE

中国政府系ハッカーが台湾の半導体産業から戦略的に情報を盗み出している証拠とは? - GIGAZINE

中国が台湾市民の個人情報を狙っていると政府が発表 - GIGAZINE

中国が新型コロナウイルスの研究機関に大規模なハッキングを仕掛けていることが判明 - GIGAZINE

日本を含む11カ国から数百億円相当の機密を中国政府系ハッカーが盗み出したとアメリカ司法省が起訴 - GIGAZINE

in セキュリティ, Posted by logq_fa

You can read the machine translated English article here.