警察庁 NISC 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について with 米国 NSA, FBI, CISA

こんにちは、丸山満彦です。

日本も、サイバー攻撃者についてのパブリックアトリビューションをしていくということですね。。。今回は、警察庁とNISCが、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、中国を背景とするサイバー攻撃グループ「BlackTech」（ブラックテック）によるサイバー攻撃に関する合同の注意喚起を発出しています。。。

国際連携は重要ですね。。。

 

● 警察庁 - サイバー警察局

・2023.09.27 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について

・[PDF] 

 

● NISC

・2023.09.27 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について 注意喚起

 

 

---

米国側...

● NSA

・2023.09.27 U.S. and Japanese Agencies Issue Advisory about China Linked Actors Hiding in Router Firmware

U.S. and Japanese Agencies Issue Advisory about China Linked Actors Hiding in Router Firmware	ルーター・ファームウェアに潜む中国関連行為者について日米の機関が勧告を発表
FORT MEADE, Md. - The National Security Agency (NSA), U.S. Federal Bureau of Investigation (FBI), U.S. Cybersecurity and Infrastructure Security Agency (CISA), Japan National Police Agency (NPA), and Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) are releasing the joint Cybersecurity Advisory (CSA) “People’s Republic of China-Linked Cyber Actors Hide in Router Firmware” about the activities of BlackTech cyber actors.	フォートミード（米マサチューセッツ州）- 国家安全保障局（NSA）、米国連邦捜査局（FBI）、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、警察庁、国家サイバーセキュリティ戦略センター（NISC）は、BlackTechサイバー行為者の活動に関する共同サイバーセキュリティ勧告（CSA）「中華人民共和国系サイバー行為者がルーターファームウェアに潜む」を発表した。
BlackTech, also known as Palmerworm, Temp. Overboard, Circuit Panda, and Radio Panda, has targeted government, industrial, technology, media, electronics, and telecommunication sectors. As a multinational threat linked to the People’s Republic of China (PRC), the actors have demonstrated capabilities in modifying router firmware without detection.	BlackTechは、Palmerworm、Temp. Overboard、Circuit Panda、Radio Pandaとしても知られるBlackTechは、政府、産業、テクノロジー、メディア、エレクトロニクス、テレコミュニケーションの各セクターを標的としている。中華人民共和国（PRC）に関連する多国籍の脅威として、脅威行為者は検知されることなくルータのファームウェアを変更する能力を実証している。
The CSA details tactics, techniques, and procedures (TTPs) used by BlackTech actors to compromise international subsidiaries, as well as recommended detection and mitigation techniques to defend against this threat. The CSA also highlights the need for multinational corporations to review all subsidiary connections, verify access, and consider implementing zero trust models to limit the extent of a potential compromise.	CSA は、BlackTech の脅威行為者が国際的な子会社を侵害するために使用する戦術、技術、手順 （TTPs）、およびこの脅威を防御するために推奨される検知と低減技術について詳述している。CSA はまた、多国籍企業がすべての子会社との接続を見直し、アクセスを検証し、潜在的な侵害の範囲を限定するためにゼロ・トラスト・モデルの導入を検討する必要性を強調している。
“Cyber actors look for the easiest way into their targeted network, like a thief checking vehicles for unlocked doors,” said Rob Joyce, NSA Cybersecurity Director. “Raising awareness of this malicious activities helps with not only hardening our defenses, but also those of our international allies, critical infrastructure, and private sector organizations.  We need to keep these actors out of our networks.”	「NSA サイバーセキュリティ・ディレクターのロブ・ジョイスは、「サイバー行為者は、泥棒が車のドアに鍵がかかっていないかチェックするように、標的のネットワークに最も簡単に侵入できる方法を探している。「このような悪質な行為に対する認識を高めることは、我々の防衛を強化するだけでなく、国際的な同盟国、重要なインフラ、民間組織の防衛にも役立つ。 我々は、このような行為者を我々のネットワークから締め出す必要がある。
As indicated in the CSA, the BlackTech actors target network routers typically used at remote branch offices to connect to corporate networks. The actors have compromised several Cisco routers using variations of TTPs to conceal configuration changes, hide commands, disable logging, and pivot between international subsidiaries’ and domestic headquarters’ networks.	CSA に示されているように、BlackTech の行為者は、通常、リモート支店で企業ネットワークに接続するために使用されるネットワーク・ルータを標的としている。この行為者は、コンフィギュレーション変更の隠蔽、コマンドの隠蔽、ロギングの無効化、海外子会社と国内本社のネットワーク間のピボットのためのTTPのバリエーションを使用して、複数のCiscoルータを侵害した。
Some of the TTPs mentioned in the CSA and used by this actor group include modifying router firmware to establish backdoors and persistence, pivoting using internal routers, and living off the land tactics to blend in with normal operating system and network activities to evade endpoint detection and response (EDR) products. BlackTech has also used a range of custom malware to target Windows, Linux, and FreeBSD operating systems.	CSA で言及され、この行為者グループが使用した TTP の一部には、バックドアと永続性を確立するためにルータのファームウェアを変更すること、内部ルータを使用してピボットすること、エンドポイント検知および応答（EDR）製品を回避するために通常のオペレーティング・システムとネットワーク・アクティビティに紛れ込むために現地調達型戦術が含まれる。BlackTechはまた、Windows、Linux、およびFreeBSDオペレーティングシステムを標的とするさまざまなカスタムマルウェアも使用している。
"Subsidiaries of multinational corporations are attractive targets for threat actors," said Joyce. "The security of these subsidiaries' IT environments are sometimes overlooked, posing a significant risk for the critical systems of their international partners. We need to continue to be vigilant and work together across international industry and government to effectively implement best practices to secure vital IT environments."	「多国籍企業の子会社は、脅威行為者にとって魅力的な標的である。「これらの子会社のIT環境のセキュリティは、時に見過ごされ、国際的なパートナーの重要なシステムに重大なリスクをもたらしている。重要なIT環境を保護するためのベストプラクティスを効果的に実施するために、国際的な産業界と政府が協力して警戒を続ける必要がある。
The authoring agencies recommend implementing the mitigations in the CSA to detect malicious activities and protect devices from being compromised by BlackTech actors.	作成機関は、悪意のある活動を検知し、BlackTech の行為者によってデバイスが侵害されないように保護するために、CSA の軽減策を実施することを推奨している。
For additional information and examples of similar actors and activities, see “People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices” and “People’s Republic of China State-Sponsored Cyber Actors Living off the Land to Evade Detection.”	その他の情報および類似の行為者と活動の例については、"People's Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices" および "People's Republic of China State-Sponsored Cyber Actors Living Off the Land to Evade Detection" を参照のこと。

 

 

● CISA

・2023.09.27 NSA, FBI, CISA, and Japanese Partners Release Advisory on PRC-Linked Cyber Actors

 

NSA, FBI, CISA, and Japanese Partners Release Advisory on PRC-Linked Cyber Actors	NSA、FBI、CISA、および日本のパートナーが、中国に関連するサイバー行為者に関する勧告を発表
Today, the U.S. National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Cybersecurity and Infrastructure Security Agency (CISA), along with the Japan National Police Agency (NPA) and the Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) released joint Cybersecurity Advisory (CSA) People's Republic of China-Linked Cyber Actors Hide in Router Firmware. The CSA details activity by cyber actors, known as BlackTech, linked to the People’s Republic of China (PRC). The advisory provides BlackTech tactics, techniques, and procedures (TTPs) and urges multinational corporations to review all subsidiary connections, verify access, and consider implementing zero trust models to limit the extent of a potential BlackTech compromise.	本日、米国国家安全保障局（NSA）、連邦捜査局（FBI）、サイバーセキュリティ・インフラフラセキュリティ戦略局（CISA）は、警察庁、サイバーセキュリティ戦略センター（NISC）とともに、共同サイバーセキュリティ勧告（CSA）「ルーターのファームウェアに潜む中華人民共和国関連のサイバー行為者」を発表した。CSAは、中華人民共和国（PRC）に関連するBlackTechとして知られるサイバー行為者の活動について詳述している。この勧告は、BlackTech の戦術、技術、手順（TTP）をプロバイダとして提供し、多国籍企業に対し、BlackTech の潜在的な侵害の範囲を限定するために、すべての子会社接続を見直し、アクセスを検証し、ゼロ信頼モデルの導入を検討するよう促している。
BlackTech has demonstrated capabilities in modifying router firmware without detection and exploiting routers’ domain-trust relationships to pivot from international subsidiaries to headquarters in Japan and the United States, which are the primary targets.	BlackTechは、検知されることなくルーターのファームウェアを変更し、ルーターのドメイン・トラスト関係を悪用して、国際的な子会社から主要な標的である日本や米国の本社にピボットする能力を実証している。
CISA strongly recommends organizations review the advisory and implement the detection and mitigation techniques described to protect devices and networks. For additional guidance, see People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices and visit CISA’s China Cyber Threat Overview and Advisories page.	CISAは、組織がこの勧告を確認し、デバイスとネットワークを保護するために、説明されている検知と低減のテクニックを実施することを強く推奨する。その他のガイダンスについては、「中華人民共和国国家に支援されたサイバー脅威行為者がネットワーク・プロバイダとデバイスを悪用」を参照し、CISAの「中国のサイバー脅威の概要と勧告」のページを参照されたい。

 

・[PDF]