RedMike(Salt Typhoon)が世界の通信事業者の脆弱なCiscoデバイスを悪用
Executive Summary
2024年12月から2025年1月の間に、Recorded FutureのInsikt Groupは、主に世界的な通信プロバイダーに関連する、パッチ未適用のインターネットに接続されたCiscoネットワークデバイスを悪用するキャンペーンを特定しました。被害を受けた組織には、英国に拠点を置く通信プロバイダーの米国子会社や南アの通信プロバイダーが含まれていました。Insikt Groupは、この活動を、Insikt GroupがRedMikeとして追跡している中国政府支援の脅威活動グループに帰属させており、これはMicrosoftが命名したSalt Typhoonというグループとも一致します。Insikt Groupは、Recorded Future® Network Intelligenceを使用して、RedMikeがCVE-2023-20198というCisco IOS XEソフトウェアのWebユーザーインターフェイス(UI)機能に見られる権限昇格の脆弱性に対して脆弱なパッチ未適用のCiscoネットワークデバイスを狙って悪用し、関連する権限昇格の脆弱性CVE-2023-20273を悪用してルート権限を取得する前に初期アクセスを行っていることを観察しました。RedMikeはデバイスを再構成し、永続的なアクセスのためにジェネリックルーティングカプセル化(GRE)トンネルを追加します。
RedMikeは、世界中で1,000台以上のCiscoデバイスの悪用を試みています。同グループは、通信事業者のネットワークとの関連性に基づいて標的デバイスのリストを作成したと考えられます。Insikt Groupは、RedMikeがアルゼンチン、バングラデシュ、インドネシア、マレーシア、メキシコ、オランダ、タイ、アメリカ合衆国(US)、ベトナムの大学に関連するデバイスを標的にしていることを観察しました。RedMikeは、特にUCLAやデルフト工科大学などの電気通信、工学、技術に関連する分野の研究にアクセスするために、これらの大学をターゲットにした可能性があります。この活動に加えて、2024年12月中旬に、RedMikeはミャンマーに拠点を置く通信事業者Mytelが所有する複数のIPアドレスの偵察も行いました。
パッチが適用されていない外部接続アプライアンスは、組織のインフラストラクチャへの直接の侵入経路として機能します。高度な中国の脅威活動グループは、過去5年間で、初期アクセスのためにこれらのデバイスを悪用する方向に大きく転換しました。RedMike による通信インフラストラクチャの悪用は、技術的な脆弱性にとどまらず、戦略的な諜報上の脅威となります。重要な通信ネットワークへの継続的なアクセスにより、国家が支援する脅威アクターは、地政学的な紛争中に機密の会話を監視し、データフローを操作し、サービスを妨害することが可能になります。RedMikeによる合法的な傍受プログラムと米国の政治家の標的化は、これらの作戦の背後にある戦略的なインテリジェンス目的と、それがもたらす国家安全保障上の脅威を浮き彫りにしています。
中国の国家後援型脅威活動グループにとって、パッチが適用されていないシステムは依然として主要な初期アクセスベクトルであるため、組織、特に電気通信業界の組織は、危険にさらされているネットワークデバイスの修復を優先する必要があります。ネットワーク管理者は、厳格なアクセス制御を実施し、不要なWeb UIの露出を無効にし、不正な設定変更を監視する必要があります。個人は、サイバーセキュリティインフラストラクチャ庁(CISA)および連邦捜査局(FBI)が推奨するように、機密情報にはエンドツーエンドで暗号化された通信方法を使用すべきです。これは、潜在的な盗聴リスクを軽減するために重要です。
さらに、政府やサイバーセキュリティ機関は、脅威インテリジェンスの共有を改善し、ネットワークセキュリティに対する規制コンプライアンスを厳格化する必要があります。米国によるRedMike系列のSichuan Juxinhe Network Technologyへの制裁は、重要インフラにおける国家支援のサイバースパイ活動に対する、より積極的かつ称賛に値する姿勢を示していますが、これらの持続的な脅威に効果的に対抗するためには、強固な国際協力が不可欠です。
主な調査結果
- 大々的なメディア報道や米国の制裁にもかかわらず、RedMikeは米国を含む世界中の通信事業者を侵害し続けています。
- RedMikeは、米国に拠点を置く英国(UK)の通信事業者の関連会社と南アフリカの通信事業者のCisco ネットワークデバイスを侵害しました。
- RedMike は、権限昇格の脆弱性 CVE-2023-20198 および CVE-2023-20273 を悪用して、Cisco IOS XE ソフトウェアを実行しているパッチ未適用の Cisco ネットワークデバイスを侵害しました。
- Insikt Groupは、Recorded Future Network Intelligenceを使用して、RedMikeが2024年12月から2025年1月の間に1,000台を超えるCiscoネットワークデバイスを悪用しようとしたことを特定しました。
背景
2024年9月下旬、メディア報道(1、2)によると、中国政府が支援するグループ「Salt Typhoon」が、Verizon(1)、AT&T、Lumen Technologiesを含む米国の大手通信会社のネットワークを侵害したと報じられました。この活動は世界中の通信組織に影響を与えた可能性があり、一部の報道機関は、Salt Typhoonが少なくとも80の組織を侵害したと報告しています。SaltTyphoonは、通信事業者へのアクセスを利用して、米国の合法的な傍受ターゲットを監視し、米国の重要な政治家の通信を傍受しました。Salt Typhoonの侵入の影響は米国政府の最高レベルにまで及んでいます。サイバーセキュリティの専門家は米国上院に報告を行い、CISAは最近、通信インフラの強化に関するガイダンスを発行し、CISAとFBIは機密性の高い通信に関し暗号化されたエンドツーエンドのメッセージングアプリケーションの使用を推奨する共同警告を発行しました。
Insikt Groupは、RedMikeとしてのSalt Typhoon関連のアクティビティを追跡しています。Salt TyphoonはMicrosoft Threat Intelligenceによって命名されたグループ名です。現時点で、Microsoftは同グループの活動に関する技術的な詳細を公開していません。Microsoftが共有した唯一の公開情報は、既存の2つの脅威活動グループ名との重複(GhostEmperor(Kaspersky)とFamousSparrow(ESET))を確認しています。
2025年1月17日、米国財務省外国資産管理局(OFAC)は、RedMike活動に直接関与したとして、四川省に拠点を置くサイバーセキュリティ企業、Sichuan Juxinhe Network Technology Co., Ltd.に制裁を科しました。OFACは、Sichuan Juxinhe Network Technology Co., Ltd.が米国の通信・インターネットサービス事業者企業の搾取に直接関与していたと述べました。OFACによると、中国国家安全部(MSS)は、Sichuan Juxinhe社を含む複数のコンピューターネットワーク悪用企業と強い関係を維持しています。
技術的分析
Cisco IOS XE Web UIの悪用
Insikt Groupは、Recorded Future Network Intelligenceを使用して、2024年12月初旬以降にRedMikeが2つの権限昇格の脆弱性(CVE-2023-20198とCVE-2023-20273)を組み合わせ、世界中のインターネットに接続された1,000台以上のCiscoネットワークデバイス(主に通信プロバイダーに関連するもの)を悪用しようとしたことを特定しました。侵入に成功した場合、同グループは新しい特権ユーザーアカウントを使用してデバイスの設定を変更し、永続的なアクセスとデータの流出を目的としてGREトンネルを追加します。
権限昇格の脆弱性CVE-2023-20198は、Cisco IOS XEソフトウェアのWeb UI機能バージョン16以前で発見され、2023年10月にCiscoによって公開されました。攻撃者はこの脆弱性を利用してデバイスへの初期アクセスを獲得し、privilege 15コマンドを発行し、ローカルユーザーとパスワードを作成します。その後、攻撃者は新しいローカルアカウントを使用してデバイスにアクセスし、関連する権限昇格の脆弱性であるCVE-2023-20273を利用してrootユーザー権限を取得します。
図1:RedMikeによるCiscoネットワークデバイスのエクスプロイトインフラストラクチャ(出典:Recorded Future)
RedMikeが狙ったCiscoデバイスの半数以上は、米国、南米、インドに存在していました。残りのデバイスは、他の100か国以上に広がっていました。選択されたデバイスは主に通信事業者に関連していますが、13台はアルゼンチン、バングラデシュ、インドネシア、マレーシア、メキシコ、オランダ、タイ、アメリカ合衆国、ベトナムの大学に関連付けられていました。
最先端の研究に携わることの多い大学は、中国の国家支援型脅威活動グループにとって、貴重な研究データや知的財産を獲得するための格好の標的となります。これまでの例としては、生物医学、ロボット工学、海事研究のために大学をターゲットにしたAPT40、医学研究のためのRedGolf(APT41)、そして学者を直接ターゲットにしたRedBravo(APT31)などがあります。中国のサイバー戦略は、その広範な経済・軍事目標と合致しており、大学は長期的な情報収集と技術獲得のための価値の高い標的となっています。
RedMikeは、特にUCLAやデルフト工科大学などの電気通信、工学、技術に関連する分野の研究にアクセスするために、以下の大学をターゲットにした可能性があります。
- カリフォルニア大学ロサンゼルス校(UCLA)—米国
- カリフォルニア州立大学学長室(CENIC)— 米国
- ロヨラ・メリーマウント大学 — US
- ユタ工科大学 — 米国
- Universidad de La Punta — アルゼンチン
- イスラム工科大学(IUT)—バングラデシュ
- Universitas Sebelas Maret — インドネシア
- Universitas Negeri Malang — インドネシア
- マラヤ大学 — マレーシア
- 国立自治大学 — メキシコ
- デルフト工科大学 — オランダ
- スリパトゥム大学 — タイ
- ホーチミン市医科薬科大学 — ベトナム
図2:RedMikeが標的としたCiscoデバイスの地理的分布(出典:Recorded Future)
RedMikeのスキャンおよび悪用活動は、2024年12月から2025年1月にかけて6回発生しました。
- 2024-12-04
- 2024年12月10日
- 2024年12月17日
- 2024-12-24
- 2025-01-13
- 2025-01-23
インターネットに公開されている IOS XE ソフトウェアの Web UI を備えた Cisco ネットワークデバイスを操作するネットワーク管理者は、緩和策セクションに記載された日付とアドバイスを使用して、潜在的な RedMike の悪用活動を特定することができます。
Insikt Groupは、インターネットスキャンデータを使用して、Web UIがインターネットに公開されている12,000台以上のCiscoネットワークデバイスを特定しました。1,000台以上のCiscoデバイスが標的となりましたが、Insikt Groupは、この数字が公開されたデバイスの8%に過ぎず、RedMikeが通信事業者に関連するデバイスを選択する定期的な偵察活動に従事していたことを考えると、この活動は焦点を絞ったものである可能性が高いと評価しています。
侵害された通信事業者のデバイス
Insikt Groupは、Recorded Future Network Intelligenceを使用して、RedMikeインフラストラクチャと通信している7台の侵害されたCiscoネットワークデバイスを観察しました。これには、以下に関連付けられたデバイスが含まれます。
- 英国の通信事業者の米国子会社
- 米国のインターネットサービスプロバイダー(ISP)および通信会社
- 南アフリカの通信事業者
- イタリアのISP
- タイの大手通信事業者
RedMikeは、侵害されたCiscoデバイスとそのインフラストラクチャの間にGREトンネルを構成しました。GREは、ポイントツーポイント接続内でさまざまなネットワーク層プロトコルをカプセル化するために使用されるトンネリングプロトコルで、Ciscoネットワークデバイスで設定可能な標準機能です。これは一般的に、仮想プライベートネットワーク (VPN) の作成、異なるネットワークタイプ間の相互運用性の実現、IPネットワークを介したマルチキャストまたは非IPトラフィックの転送に使用されます。脅威活動グループは、GREトンネルを利用して、ファイアウォールや侵入検知システムを回避する隠密通信チャネルを確立し、持続性を確保します。これらのトンネルは、盗まれたデータをGREパケットにカプセル化することで、ネットワーク監視を回避し、ステルス性の高いデータ流出を可能にします。
ミャンマーの通信事業者に対する偵察
2024年12月中旬、RedMikeは、Ciscoネットワークデバイスを悪用したものと同じインフラストラクチャから、ミャンマーに拠点を置く通信事業者Mytelが運営する複数のインフラストラクチャ資産(おそらく同社のメールサーバーを含む)に対して偵察を行いました。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
関連