セキュリティ研究者は、 何年もの間、国が支援するハッキンググループ、特に中国からのハッキンググループの複雑化について、Congress.govの議会レコードのレーダー上では、有名なハッキンググループが ボルト台風、フラックス台風、塩台風 — 米国の政府機関、重要インフラ、通信事業者を積極的にターゲットに 警告 台風家族 一つの思考学校は、ソルトタイフーンのハッキンググループが、電気通信プロバイダーへの傾向があることを考慮して、電気通信関連のグループである可能性があることを示唆しています。 この広範囲にわたる金融詐欺は、内部顧客レコードへの不正なアクセスを含む。 ギフトカード詐欺 Meet the Typhoon Family: Members of China’s Cyber Espionage Team 台風家族に会う:中国のサイバースパイチームのメンバー ■ Volt Typhoon: The Stealth Operator 通信、エネルギー、および輸送部門を含む米国の重要インフラを最も頻繁にターゲットにしている国が支援するサイバー犯罪グループです。マルウェアの拡散の代わりに、彼らのモード・オペランディは、PowerShellやWindows Management Instrumentation(WMIC)などのネットワーク管理ツールを組み込んで使用して、典型的なWindowsシステムとネットワークの行動としての活動を隠し、検出を回避することによって検出されないようにしています。 台風回復 ■ Flax Typhoon: The Silent Observer 彼らは長期的なスパイを標的にし、重要なインフラだけでなく、政府機関や商業団体を含むさまざまな組織を標的にし、カメラ、ビデオレコーダー、ストレージデバイスなどのインターネットに接続されたデバイスの何千ものデバイスを乗っ取って、システムを破壊し、機密情報を盗むのに役立つボットネットを形成する。 フラックス台風 ■ Salt Typhoon: The Telecom Intruder ボルトとフラックスとは異なり、ソルトタイフーンは特に米国の通信プロバイダーをターゲットにしており、主にルーターやスイッチなどのネットワークハードウェアの脆弱性を悪用することによって、モバイルおよびブロードバンドサービスを扱う企業を含むほぼすべての主要な米国の電気通信会社を侵害することができました。 塩台風 ソルト台風もアメリカを襲った。 この規則に基づき、電気通信企業は、CALEAが義務づけているように、積極的な監視の下で疑わしいターゲットのワイヤーテープを容易にするようにネットワークを設計する必要があります。 法的に制裁された監視ネットワーク ソルト台風 成功 いくつかの主要な電気通信会社のCALEAシステムは、現在監視されている電話番号を見る能力を与え、選択されたターゲットからの電話やテキストメッセージをキャプチャし、電話やテキストの時刻を追跡するメタデータにアクセスし、通信が起源となったセルタワーを識別し、ターゲットの約位置を明らかにします。 破損 Salt Typhoonの主な目的はスパイであるように見えるが、内部顧客データベースへのアクセスは、潜在的な金融詐欺についての懸念を高めている。 AT&TとSpectrumは、顧客アカウントの残高を抽出し、詐欺師がサービス代理人をふりかえし、被害者を詐欺的な取引に参加させることを可能にした。 たか The Comcast Gift Card Scam: A Coordinated Cyber Attack? The Comcast Gift Card Scam: A Coordinated Cyber Attack(コンキャストギフトカード詐欺:連携されたサイバー攻撃?) THE 詐欺師はサブスクリプトに連絡し、割引プロモーションを受ける資格があると主張します。被害者はギフトカードを購入し、サービス担当者にカード番号を読み返すように依頼されます。 Comcast ギフトカード詐欺 ここで大きな疑問は、詐欺師がどのようにしてこのような敏感な内部顧客情報を得たかである。詐欺師は顧客のアカウントに関する完全な情報を、プランやバランスを含め、内部知識や内部ネットワークへのアクセスを介してのみ可能なものである。 ソルトタイフーンは、認証盗難技術を使用して、ネットワーク内の側面に移動することを可能にしていることが知られています。Comcastのインフラストラクチャの中で、彼らは顧客サービスポータルにアクセスして、アカウントのバランスを取得し、個人情報を取得することができます。抽出したComcast顧客データは詐欺師に販売され、被害者に正確なアカウント情報(最後の4つの支払いと将来の料金など)をターゲットにすることができ、詐欺操作を容易にすることができます。 How Companies Can Defend Against Such Attacks 企業はこうした攻撃に対してどのように防衛できるのか ソルトタイフーンや類似のAPTグループによるリスクを軽減するために、電気通信プロバイダは以下のことをしなければならない。 ■ プライベートデータへのアクセスを制限し、承認されたスタッフのみが顧客アカウント情報を見ることができます。 重要なシステムを分離して攻撃者がネットワークを横断しないようにします。 Implement Zero Trust security: ■ AIによる異常検出や行動分析などの高度な脅威検出システムを展開して、内部データベース内の異常な活動を特定する。 Enhance network visibility: ■ Salt Typhoon は既知のセキュリティの脆弱性を標的としているため、システムを定期的にパッチすることは極めて重要です。CISA が推奨するセキュリティパッチを電気通信インフラストラクチャに適用します。システムを安全に保つために、メーカーがサポートするライフサイクル以外のテクノロジーの終末戦略を作成します。 Patch vulnerabilities promptly: ■ 顧客情報を処理するすべての内部システムにMFAを実装する。 さらにアカウントをセキュリティーに保つために、管理資格を定期的に回転して、攻撃者がサイド攻撃に盗まれた資格を使用しないようにします。 Strengthen authentication mechanisms: フィッシング ■ 電気通信プロバイダは、詐欺的な計画について顧客に警告し、企業顧客のための人為的なリスク管理とセキュリティ意識のトレーニングを提唱し、ソーシャルエンジニアリングやフィッシングの試みの兆候を特定し認識するのに役立つべきである。 Educate customers about scams: Conclusion: A Plausible Theory Worth Investigating A Plausible Theory Worth Investigating(研究する価値のある説) Salt Typhoon はすでに多くの Telco を侵害し、ネットワーク侵入とデータ抽出の専門知識が彼らを主要な容疑者として位置づけています。もし Salt Typhoon が実際に責任を負っているなら、ハッカーが金融詐欺を容易にし、単にスパイアウトするのではなく、州が支援するサイバー犯罪の危険な新しい方向性を示しています。サイバーセキュリティの脅威が進化し続けるにつれて、消費者と企業は同様に警戒し、敏感な情報を敵対的な国家関係者から遠ざけなければなりません。
