米国 NSA、FBI、サイバー国家作戦部隊、Five Eyes 中国関連のアクターとボットネット活動に関する勧告 (2024.09.18)
こんにちは、丸山満彦です。
米国 NSA、FBI、サイバー国家作戦部隊とFive Eyesのサイバーセキュリティセンターが、中国関連のアクターとボットネット活動に関する勧告を発表していますね...IoT機器ですね...
中国の北京に拠点を置く上場企業?であるIntegrity Technology Group (Integrity Tech) が管理する2021年半ばから活動しているボットネットは、定期的に10,000台から100,000台の感染したデバイスを維持されていて、2024年6月現在では260,000台以上のデバイスで構成されているようです...
で、今回、裁判所の許可を得て、このボットネットを破壊したということのようです...
● National Security Agency/Central Security Service
・2024.09.18 NSA and Allies Issue Advisory about PRC-Linked Actors and Botnet Operations
NSA and Allies Issue Advisory about PRC-Linked Actors and Botnet Operations | NSAと同盟国、中国関連のアクターとボットネット活動に関する勧告を発表 |
FORT MEADE, Md. - The National Security Agency (NSA) joins the Federal Bureau of Investigation (FBI), the United States Cyber Command’s Cyber National Mission Force (CNMF), and international allies in releasing new information about People’s Republic of China (PRC)-linked cyber actors who have compromised internet-connected devices worldwide to create a botnet and conduct malicious activity . | メリーランド州フォート・ミード - 国家安全保障局(NSA)は、連邦捜査局(FBI)、米国サイバーコマンドのサイバー国家任務部隊(CNMF)、および国際同盟国とともに、ボットネットを構築し悪意のある活動を行うために世界中のインターネット接続デバイスを侵害した中国(PRC)関連のサイバーアクターに関する新たな情報を公開した。 |
The Cybersecurity Advisory (CSA) released by the agencies, “People’s Republic of China-Linked Actors Compromise Routers and IoT Devices for Botnet Operations,” highlights the threat posed by these actors and their botnet, a network of compromised nodes positioned for malicious activity. | 各機関が発表したサイバーセキュリティ勧告(CSA)「中華人民共和国に関連する行為者によるボットネット作戦のためのルーターおよびIoTデバイスの侵害」では、これらの行為者および悪意ある活動を行うために配置された侵害されたノードのネットワークであるボットネットがもたらす脅威が強調されている。 |
“The botnet incorporates thousands of U.S. devices with victims in a range of sectors,” said Dave Luber, NSA Cybersecurity Director. “The advisory provides new and timely insight into the botnet infrastructure, the countries where compromised devices are located, and mitigations for securing devices and eliminating this threat. | NSAのサイバーセキュリティディレクターであるデイブ・ルーバー氏は次のように述べた。「ボットネットは、さまざまな分野の被害者である数千台の米国のデバイスを組み込んでいる。この勧告は、ボットネットのインフラ、侵害されたデバイスが位置する国々、そしてデバイスを保護し、この脅威を排除するための低減策について、新しい洞察をタイムリーに提供してる。」 |
Device vendors, owners, and operators are encouraged to update and secure their devices – particularly older devices – from being compromised and joining the botnet. Cybersecurity companies are also urged to use the CSA to help identify malicious activity. | デバイスベンダー、所有者、および運営者は、特に古いデバイスを更新し、侵害されてボットネットに参加しないよう保護することが推奨される。また、サイバーセキュリティ企業には、CSAを活用して悪意ある活動を識別することが求められている。 |
Compromised internet-connected devices include small office/home office (SOHO) routers, firewalls, network-attached storage (NAS), and Internet of Things (IoT) devices, such as webcams, DVRs, and IP cameras. The actors create a botnet from these devices, which can be used to conceal their online activity, launch distributed denial of service (DDoS) attacks, or compromise U.S. networks. | インターネットに接続された侵害されたデバイスには、小規模オフィス/ホームオフィス(SOHO)ルーター、ファイアウォール、ネットワーク接続ストレージ(NAS)、ウェブカメラ、デジタルビデオレコーダー(DVR)、IPカメラなどのIoTデバイスが含まれる。これらのデバイスからボットネットが構築され、オンライン上の活動を隠蔽したり、分散型サービス拒否(DDoS)攻撃を仕掛けたり、米国のネットワークを侵害したりするために使用される可能性がある。 |
As of June 2024, the botnet consisted of over 260,000 devices in North America, Europe, Africa, and Southeast Asia, according to the CSA. | 2024年6月現在、ボットネットは北米、ヨーロッパ、アフリカ、東南アジアの26万台以上のデバイスで構成されていると、CSAは報告している。 |
NSA is releasing this joint advisory to help National Security Systems, Department of Defense, and Defense Industrial Base networks mitigate these cyber threats. The authors of the CSA recommend the following mitigations: | NSAは、国家安全保障システム、国防総省、および防衛産業基盤ネットワークがこれらのサイバー脅威を軽減できるよう、この共同勧告を発表している。CSAの著者は、以下の低減策を推奨している。 |
・Regularly apply patches and updates, using automatic updates from trusted providers when available. | ・信頼できるプロバイダから自動更新が利用可能な場合は、定期的にパッチと更新を適用する。 |
・Disable unused services and ports, such as automatic configuration, remote access, or file sharing protocols, which threat actors may abuse to gain initial access or to spread malware to other networked devices. | ・脅威行為者が初期アクセスを獲得したり、他のネットワークデバイスにマルウェアを拡散したりするために悪用する可能性がある自動構成、リモートアクセス、ファイル共有プロトコルなどの未使用のサービスやポートを無効にする。 |
・Replace default passwords with strong passwords. | ・デフォルトのパスワードを強力なパスワードに置き換える。 |
・Implement network segmentation with the principle of least privilege to ensure IoT devices within a larger network pose known, limited, and tolerable risks. | ・最小権限の原則に従ってネットワークをセグメント化し、大規模なネットワーク内のIoTデバイスが既知の限定的な許容可能なリスクしか引き起こさないようにする。 |
・Monitor for high network traffic volumes to detect and mitigate DDoS incidents. | ・大量のネットワークトラフィックを監視し、DDoSインシデントを検知して低減する。 |
・Plan for device reboots to remove non-persistent malware. | ・非永続的なマルウェアを除去するためにデバイスの再起動を計画する。 |
・Replace end-of-life equipment with supported devices. | ・サポート対象のデバイスに、耐用年数を過ぎた機器を交換する。 |
Read the full report here. | 報告書全文はこちらからご覧いただけます。 |
Visit our full library for more cybersecurity information and technical guidance. | サイバーセキュリティに関する情報や技術的なガイダンスについては、私たちのライブラリをご覧ください。 |
サマリー...
People’s Republic of China-Linked Actors Compromise Routers and IoT Devices for Botnet Operations | 中華人民共和国とつながりのあるハッカー集団が、ボットネット構築のためにルーターやIoTデバイスを侵害 |
Summary | 要約 |
The Federal Bureau of Investigation (FBI), Cyber National Mission Force (CNMF), and National Security Agency (NSA) assess that People’s Republic of China (PRC)-linked cyber actors have compromised thousands of Internet-connected devices, including small office/home office (SOHO) routers, firewalls, network-attached storage (NAS) and Internet of Things (IoT) devices with the goal of creating a network of compromised nodes (a “botnet”) positioned for malicious activity. The actors may then use the botnet as a proxy to conceal their identities while deploying distributed denial of service (DDoS) attacks or compromising targeted U.S. networks. | 連邦捜査局(FBI)、サイバー国家任務部隊(CNMF)、国家安全保障局(NSA)は、中華人民共和国(PRC)に関連するサイバー犯罪者が、悪意ある活動を行うために配置された感染ノードのネットワーク(「ボットネット」)を作成することを目的として、小規模オフィス/ホームオフィス(SOHO)ルーター、ファイアウォール、ネットワーク接続ストレージ(NAS)、IoTデバイスなど、数千台のインターネット接続デバイスを侵害したとアセスメントしている。攻撃者は、ボットネットを代理として利用し、身元を隠しながら分散型サービス拒否(DDoS)攻撃を仕掛けたり、標的となる米国のネットワークを侵害したりする可能性がある。 |
Integrity Technology Group (Integrity Tech), a PRC-based company, has controlled and managed a botnet active since mid-2021. The botnet has regularly maintained between tens to hundreds of thousands of compromised devices. As of June 2024, the botnet consisted of over 260,000 devices. Victim devices which are part of the botnet have been observed in North America, South America, Europe, Africa, Southeast Asia and Australia. | 中国に拠点を置く企業であるIntegrity Technology Group(Integrity Tech)は、2021年半ばから活動しているボットネットを制御および管理している。このボットネットは、定期的に10,000台から100,000台の感染したデバイスを維持している。2024年6月現在、このボットネットは260,000台以上のデバイスで構成されている。ボットネットの一部である被害者のデバイスは、北米、南米、ヨーロッパ、アフリカ、東南アジア、オーストラリアで観測されている。 |
While devices aged beyond their end-of-life dates are known to be more vulnerable to intrusion, many of the compromised devices in the Integrity Tech-controlled botnet are likely still supported by their respective vendors. | 耐用年数を過ぎたデバイスは侵入に対してより脆弱であることが知られているが、インテグリティー・テックが管理するボットネットに感染したデバイスの多くは、依然としてそれぞれのベンダーによってサポートされている可能性が高い。 |
FBI, CNMF, NSA, and allied partners are releasing this Joint Cyber Security Advisory to highlight the threat posed by these actors and their botnet activity and to encourage exposed device vendors, owners, and operators to update and secure their devices from being compromised and joining the botnet. Network defenders are advised to follow the guidance in the mitigations section to protect against the PRC-linked cyber actors’ botnet activity. Cyber security companies can also leverage the information in this advisory to assist with identifying malicious activity and reducing the number of devices present in botnets worldwide. | FBI、CNMF、NSA、および提携パートナーは、これらの行為者およびボットネット活動によってもたらされる脅威を強調し、感染したデバイスを更新してボットネットに参加しないよう、感染したデバイスのベンダー、所有者、および運営者に促すために、この共同サイバーセキュリティ勧告を発表している。ネットワーク防御者は、PRC 関連のサイバーアクターによるボットネット活動を防御するために、低減策のセクションに記載された指針に従うことが推奨される。サイバーセキュリティ企業も、この勧告に記載された情報を活用し、悪意のある活動を識別し、世界中のボットネットに存在するデバイスの数を減らすことができる。 |
For additional information, see U.S. Department of Justice (DOJ) press release. | 詳細については、米国司法省(DOJ)のプレスリリースを参照のこと。 |
● Department of Justice - Office of Public Affairs
Court-Authorized Operation Disrupts Worldwide Botnet Used by People’s Republic of China State-Sponsored Hackers | 裁判所認可の作戦により、中華人民共和国政府支援のハッカー集団が使用する世界規模のボットネットを混乱させる |
Actors Unsuccessfully Sought to Prevent FBI’s Disruption of Botnet | アクターは、FBIによるボットネットの妨害を阻止しようとしたが失敗した |
Note: View the affidavit here. | 注:宣誓供述書はこちら |
The Justice Department today announced a court-authorized law enforcement operation that disrupted a botnet consisting of more than 200,000 consumer devices in the United States and worldwide. As described in court documents unsealed in the Western District of Pennsylvania, the botnet devices were infected by People’s Republic of China (PRC) state-sponsored hackers working for Integrity Technology Group, a company based in Beijing, and known to the private sector as “Flax Typhoon.” | 司法省は本日、米国および世界中で20万台以上の消費者向けデバイスから構成されるボットネットを破壊した、裁判所認可の法執行作戦を発表した。 ペンシルベニア州西部地区で開封された裁判書類に記載されているように、ボットネットデバイスは、北京に拠点を置く企業であるインテグリティ・テクノロジー・グループ(民間部門では「Flax Typhoon」として知られている)のために働く中華人民共和国(PRC)政府支援のハッカーによって感染させられた。 |
The botnet malware infected numerous types of consumer devices, including small-office/home-office (SOHO) routers, internet protocol (IP) cameras, digital video recorders (DVRs), and network-attached storage (NAS) devices. The malware connected these thousands of infected devices into a botnet, controlled by Integrity Technology Group, which was used to conduct malicious cyber activity disguised as routine internet traffic from the infected consumer devices. The court-authorized operation took control of the hackers’ computer infrastructure and, among other steps, sent disabling commands through that infrastructure to the malware on the infected devices. During the course of the operation, there was an attempt to interfere with the FBI’s remediation efforts through a distributed denial-of-service (DDoS) attack targeting the operational infrastructure that the FBI was utilizing to effectuate the court’s orders. That attack was ultimately unsuccessful in preventing the FBI’s disruption of the botnet. | ボットネットマルウェアは、小規模オフィス/ホームオフィス(SOHO)ルーター、インターネットプロトコル(IP)カメラ、デジタルビデオレコーダー(DVR)、ネットワーク接続ストレージ(NAS)など、多数の種類の消費者向けデバイスに感染した。このマルウェアは、感染した数千台のデバイスをボットネットに接続し、インテグリティー・テクノロジー・グループが制御するボットネットに感染したデバイスを、感染していない消費者向けデバイスからの日常的なインターネットトラフィックを装った悪質なサイバー活動に利用した。裁判所が認可したこの作戦では、ハッカーのコンピューター・インフラを制御し、そのインフラを通じて感染したデバイス上のマルウェアに無効化コマンドを送信するなど、さまざまな措置が取られた。作戦の過程では、FBIが裁判所の命令を実行するために利用していた作戦インフラを標的とした分散型サービス拒否(DDoS)攻撃により、FBIの修復作業を妨害しようとする試みもあった。この攻撃は最終的に、FBIによるボットネットの破壊を妨げることはできなかった。 |
“The Justice Department is zeroing in on the Chinese government backed hacking groups that target the devices of innocent Americans and pose a serious threat to our national security,” said Attorney General Merrick B. Garland. “As we did earlier this year, the Justice Department has again destroyed a botnet used by PRC-backed hackers to infiltrate consumer devices here in the United States and around the world. We will continue to aggressively counter the threat that China’s state- sponsored hacking groups pose to the American people.” | 司法長官のメリック・B・ガーランド氏は次のように述べた。「司法省は、罪のない米国市民のデバイスを標的にし、わが国の国家安全保障に深刻な脅威をもたらしている中国政府支援のハッキンググループに狙いを定めている。今年初めに行ったように、司法省は今回も、中国支援のハッカーが米国および世界中の消費者デバイスに侵入するために使用したボットネットを破壊した。中国が支援するハッカー集団が米国国民に及ぼす脅威に対して、今後も積極的に対抗していく。」 |
“Our takedown of this state-sponsored botnet reflects the Department’s all-tools approach to disrupting cyber criminals. This network, managed by a PRC government contractor, hijacked hundreds of thousands of private routers, cameras, and other consumer devices to create a malicious system for the PRC to exploit,” said Deputy Attorney General Lisa Monaco. “Today should serve as a warning to cybercriminals preying on Americans – if you continue to come for us, we will come for you.” | 「この国家支援によるボットネットの破壊は、サイバー犯罪者を混乱させるための司法省のあらゆる手段を駆使したアプローチを反映している。中国共産党政府の請負業者が管理するこのネットワークは、数十万台の個人用ルーター、カメラ、その他の消費者向け機器を乗っ取り、中国が利用するための悪質なシステムを構築していた」と、リサ・モナコ副司法長官は述べた。「今日という日は、アメリカ国民を狙うサイバー犯罪者たちへの警告となるべきだ。我々を狙い続けるのであれば、我々もあなた方を狙い続ける」と、リサ・モナコ副司法長官は述べた。 |
“This dynamic operation demonstrates, once again, the Justice Department’s resolve in countering the threats posed by PRC state-sponsored hackers,” said Assistant Attorney General Matthew G. Olsen of the National Security Division. “For the second time this year, we have disrupted a botnet used by PRC proxies to conceal their efforts to hack into networks in the U.S. and around the world to steal information and hold our infrastructure at risk. Our message to these hackers is clear: if you build it, we will bust it.” | 国家安全保障ディビジョンのマシュー・G・オルセン副司法長官は次のように述べた。「この機敏な作戦は、中国による国家支援を受けたハッカー集団がもたらす脅威に対抗する司法省の決意を、改めて示すものである。今年2度目となるが、中国が米国および世界中のネットワークへのハッキングを隠蔽するために使用しているボットネットを破壊した。これにより、情報を盗み、我々のインフラにリスクをもたらそうとする彼らの活動を阻止した。我々のハッカーたちへのメッセージは明確である。あなたたちが構築したものは、我々が破壊する、というものである。」 |
“The disruption of this worldwide botnet is part of the FBI’s commitment to using technical operations to help protect victims, expose publicly the scope of these criminal hacking campaigns, and to use the adversary’s tools against them to remove malicious infrastructure from the virtual battlefield,” said FBI Deputy Director Paul Abbate. “The FBI’s unique legal authorities allowed it to lead an international operation with partners that collectively disconnected this botnet from its China-based hackers at Integrity Technology Group.” | FBI副長官ポール・アバテ氏は次のように述べた。「この世界規模のボットネットの破壊は、FBIが技術的運用を活用して、被害者の防御、犯罪的なハッキングキャンペーンの規模の公開、仮想戦場から悪意あるインフラを排除するための敵対者のツールの悪用を支援するという取り組みの一環である。FBIの独自の法的権限により、インテグリティー・テクノロジー・グループを拠点とする中国系ハッカーからボットネットを遮断する国際的な捜査を主導することが可能となった。」 |
“The targeted hacking of hundreds of thousands of innocent victims in the United States and around the world shows the breadth and aggressiveness of PRC state-sponsored hackers,” said U.S. Attorney Eric G. Olshan for the Western District of Pennsylvania. “This court-authorized operation disrupted a sophisticated botnet designed to steal sensitive information and launch disruptive cyber attacks. We will continue to work with our partners inside and outside government, using every tool at our disposal, to defend and maintain global cybersecurity.” | ペンシルベニア州西部地区のエリック・G・オルシャン連邦検事は次のように述べた。「米国および世界中の何十万もの無実の被害者を標的にしたハッキングは、中国が支援するハッカー集団の広範かつ攻撃的な性質を示している。この裁判所認可の作戦により、機密情報の窃盗や破壊的なサイバー攻撃を目的とした高度なボットネットが破壊された。我々は今後も、政府内外のパートナーと協力し、あらゆる手段を駆使して、グローバルなサイバーセキュリティの防御と維持に努めていく。」 |
“The FBI’s investigation revealed that a publicly-traded, China-based company is openly selling its customers the ability to hack into and control thousands of consumer devices worldwide. This operation sends a clear message to the PRC that the United States will not tolerate this shameless criminal conduct,” said Special Agent in Charge Stacey Moy of the FBI San Diego Field Office. | FBIサンディエゴ支局のステイシー・モイ特別捜査官は次のように述べた。「FBIの捜査により、中国に本社を置く上場企業が、世界中の何千もの消費者向けデバイスへのハッキングと制御を顧客に公然と販売していることが明らかになった。この作戦は、米国がこのような恥知らずな犯罪行為を容認しないという明確なメッセージを中国に送るものである。」 |
According to the court documents, the botnet was developed and controlled by Integrity Technology Group, a publicly-traded company headquartered in Beijing. The company built an online application allowing its customers to log in and control specified infected victim devices, including with a menu of malicious cyber commands using a tool called “vulnerability-arsenal.” The online application was prominently labelled “KRLab,” one of the main public brands used by Integrity Technology Group. | 裁判所の書類によると、ボットネットは北京に本社を置く上場企業、インテグリティー・テクノロジー・グループによって開発および管理されていた。 同社は、顧客がログインして「脆弱性アーセナル」と呼ばれるツールを使用した悪意のあるサイバーコマンドのメニューを含む、特定の感染した被害者のデバイスを制御できるオンラインアプリケーションを構築した。 このオンラインアプリケーションは「KRLab」という目立つラベルが付けられており、インテグリティー・テクノロジー・グループが使用する主な公開ブランドの1つであった。 |
The FBI assesses that Integrity Technology Group, in addition to developing and controlling the botnet, is responsible for computer intrusion activities attributed to China-based hackers known by the private sector as “Flax Typhoon.” Microsoft Threat Intelligence described Flax Typhoon as nation-state actors based out of China, active since 2021, who have targeted government agencies and education, critical manufacturing, and information technology organizations in Taiwan, and elsewhere. The FBI’s investigation has corroborated Microsoft’s conclusions, finding that Flax Typhoon has successfully attacked multiple U.S. and foreign corporations, universities, government agencies, telecommunications providers, and media organizations. | FBIは、インテグリティー・テクノロジー・グループがボットネットの開発と管理に加え、民間部門では「Flax Typhoon」として知られる中国を拠点とするハッカーによるコンピューター侵入活動にも責任があるとアセスメントしている。Microsoft Threat Intelligenceは、Flax Typhoonを、2021年から活動している中国を拠点とする国家主体の脅威行為者であり、台湾やその他の地域の政府機関や教育機関、重要な製造事業者、情報技術組織を標的にしていると説明している。FBIの調査では、マイクロソフト社の結論が裏付けられ、Flax Typhoonが米国および外国の複数の企業、大学、政府機関、通信プロバイダ、メディア組織を攻撃したことが判明した。 |
A cybersecurity advisory describing Integrity Technology Group tactics, techniques and procedures was also published today by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, and partner agencies in Australia, Canada, New Zealand and the United Kingdom . | インテグリティ・テクノロジー・グループの戦術、技術、手順を説明するサイバーセキュリティ勧告も、FBI、国家安全保障局、米サイバー軍のサイバー国家任務部隊、およびオーストラリア、カナダ、ニュージーランド、英国のパートナー機関によって本日発表された。 |
The government’s malware disabling commands, which interacted with the malware’s native functionality, were extensively tested prior to the operation. As expected, the operation did not affect the legitimate functions of, or collect content information from, the infected devices. The FBI is providing notice to U.S. owners of devices that were affected by this court-authorized operation. The FBI is contacting those victims through their internet service provider, who will provide notice to their customers. | この政府によるマルウェア無効化コマンドは、マルウェアのネイティブ機能と相互に作用するもので、作戦に先立って広範囲にわたるテストが行われた。予想通り、この作戦は感染したデバイスの正当な機能に影響を与えることも、コンテンツ情報を収集することもなかった。FBIは、この裁判所認可の作戦の影響を受けたデバイスの米国所有者に通知を行っている。FBIは、インターネットサービスプロバイダを通じてこれらの被害者に連絡しており、プロバイダは顧客に通知を行う。 |
The FBI’s San Diego Field Office and Cyber Division, the U.S. Attorney’s Office for the Western District of Pennsylvania, and the National Security Cyber Section of the Justice Department’s National Security Division led the domestic disruption effort. Assistance was also provided by the Criminal Division’s Computer Crime and Intellectual Property Section. These efforts would not have been successful without the collaboration of partners, including French authorities, and Lumen Technologies’ threat intelligence group, Black Lotus Labs, which first identified and described this botnet, which it named Raptor Train, in July 2023. | FBIサンディエゴ支局およびサイバー犯罪課、ペンシルベニア州西部地区連邦検事事務所、司法省国家安全保障部門の国家安全保障サイバー課が、国内での撹乱活動の指揮を執った。また、刑事局のコンピュータ犯罪および知的財産セクションからも支援が提供された。これらの取り組みは、フランス当局をはじめとするパートナーや、2023年7月にこのボットネットを最初に識別し、Raptor Trainと名付けたLumen Technologiesの脅威インテリジェンスグループであるBlack Lotus Labsとの協力がなければ成功することはなかっただろう。 |
If you believe you have a compromised computer or device, please visit the FBI’s Internet Crime Complaint Center (IC3) or report online to CISA. You may also contact your local FBI field office directly. | 感染したコンピュータまたはデバイスをお持ちの場合は、FBIのインターネット犯罪苦情センター(IC3)にアクセスするか、CISAにオンラインで報告してください。また、最寄りのFBIの現地事務所に直接連絡することもできます。 |
The FBI continues to investigate Integrity Technology Group’s and Flax Typhoon’s computer intrusion activities. | FBIは、インテグリティ・テクノロジー・グループおよびフラックスタイフーンのコンピュータ侵入活動を継続して調査しています。 |
・[PDF] affidavit.
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)
« 英国 サイバー人材市場とサイバー技能の向上と増大する脅威に対処するための同志国による会合 (2024.09.16) | Main | 中国 国家情報化発展報告 (2023) (2024.09.06) »
Comments