米司法省からのお知らせ
ニュースリリース 2024/9/18 自動翻訳
裁判所の認可を受けた作戦により、中華人民共和国の政府支援を受けたハッカーが使用する世界規模のボットネットが破壊される
FBIによるボットネットの破壊を阻止しようとしたが失敗
司法省は本日、米国および世界各地の 20 万台以上の消費者向けデバイスで構成される※ボットネットを破壊した、裁判所の許可を得た法執行活動を発表した。
ペンシルバニア州西部地区で公開された裁判所文書に記載されているように、ボットネット デバイスは、北京に拠点を置き、民間部門では「Flax Typhoon」として知られる企業 Integrity Technology Group に勤務する中華人民共和国 (PRC) が支援するハッカーによって感染した。
※ボットネットとは、攻撃者やサイバー犯罪者の制御下にある、悪性ソフトウェア(マルウェア)に感染したコンピューターのネットワークのことです。 ボットネット内のコンピューターを使用することで、アカウントの乗っ取り、分散型サービス妨害(DDoS)攻撃、フィッシングキャンペーンなどの組織的攻撃を実行し、機微な情報を盗み出します。
参考 2023/8/29
ネットワークに長期間潜む中国の脅威グループFlax Typhoon、Microsoft警告
…Microsoftによると、Flax Typhoonは侵入後に一部のデータを収集するものの、さらなるデータの収集などの活動が確認されないことから、長期間システムにとどまりスパイ活動をする意図があるものとみられている。また、Microsoftは現時点でこのキャンペーンの未知の最終目標に向けた行動を確認できていないともしており、この中国の脅威グループが将来的な活動のために足場固めをしている可能性を示唆している。…
参考 Integrity Technology Group Inc.概要
ボットネット マルウェアは、SOHO (スモール オフィス/ホーム オフィス) ルーター、インターネット プロトコル (IP) カメラ、デジタル ビデオ レコーダー (DVR)、ネットワーク接続ストレージ (NAS) デバイスなど、さまざまな種類の消費者向けデバイスに感染しました。
マルウェアは、これらの数千の感染デバイスを Integrity Technology Group が管理するボットネットに接続し、感染した消費者向けデバイスからの通常のインターネット トラフィックを装って悪意のあるサイバー活動を実行しました。
裁判所が許可したこの作戦では、ハッカーのコンピューター インフラストラクチャが制御され、そのインフラストラクチャを通じて感染したデバイス上のマルウェアに無効化コマンドが送信されるなど、さまざまな手順が行われました。
作戦の過程で、FBI が裁判所の命令を実行するために使用していた運用インフラストラクチャを標的とした分散型サービス拒否 (DDoS) 攻撃によって、FBI の修復作業を妨害する試みがありました。
この攻撃は、最終的に FBI によるボットネットの破壊を阻止できませんでした。
「司法省は、罪のない米国人のデバイスを標的とし、国家安全保障に深刻な脅威を与えている中国政府支援のハッカー集団に的を絞っている」
とメリック・B・ガーランド司法長官は述べた。
「今年初めと同様に、司法省は、米国および世界中の消費者向けデバイスに侵入するために中国支援のハッカーが使用していたボットネットを再び破壊した。我々は、中国政府支援のハッカー集団が米国民に及ぼす脅威に引き続き積極的に対抗していく」
「国家が支援するこのボットネットの閉鎖は、サイバー犯罪者を阻止するための司法省のあらゆる手段を尽くした取り組みを反映している。
中国政府の請負業者が管理するこのネットワークは、数十万台の民間ルーター、カメラ、その他の消費者向けデバイスを乗っ取り、中国が悪用できる悪質なシステムを構築した」
とリサ・モナコ司法副長官は述べた。
「今日は、米国人を狙うサイバー犯罪者への警告となるはずだ。もし我々を狙い続けるなら、我々もお前らを狙います(we will come for you.)」
参考
Deputy Attorney General Lisa Monaco spoke today at the 2024 #AspenCyber Summit about the Justice Department’s continued...
Posted by The United States Department of Justice on Wednesday, September 18, 2024
リサ・モナコ副司法長官は今日、2024年の#アスペンサイバーサミットで、私たちの選挙への外国の干渉から、特にイラン、ロシア、中国などの敵対から保護するために司法省の継続的な作業について語りました。
彼女は、選挙への脅威に関する透明性の必要性を強調し、過去の選挙よりも、新興技術を活用し、より偏向化した環境を利用するためにより積極的に行動する俳優が増えていると再び警告した。
FBI、ODNI & CISAの共同更新に先立ち、副検事長は不協和音の種まきと選挙の結果を形成するイランの取り組みを呼びかけた:
だから、はっきり言っておく。 私たちはイランがこのキャンペーンに影響を与える長さを過小評価していない。
「このダイナミックな作戦は、中国政府支援のハッカーによる脅威に対抗する司法省の決意を改めて示すものだ」
と国家安全保障局のマシュー・G・オルセン司法次官は述べた。
「 今年2度目と なるが、中国代理組織が米国や世界中のネットワークに侵入し、情報を盗み、インフラを危険にさらすためのハッキング活動を隠すために使用していたボットネットを破壊した。ハッカーに対する我々のメッセージは明確だ。もしあなたがそれを作れば、我々はそれを破壊します(if you build it, we will bust it)」
「この世界規模のボットネットの破壊は、技術的作戦を利用して被害者を保護し、これらの犯罪的ハッキング活動の範囲を公に暴露し、敵のツールを彼らに対して使用して悪意のあるインフラを仮想戦場から排除するというFBIの取り組みの一環です」
とFBI副長官のポール・アバテ氏は述べた。
「FBI独自の法的権限により、FBIはパートナーと協力して国際的な作戦を主導し、このボットネットをインテグリティ・テクノロジー・グループの中国拠点ハッカーから共同で切り離すことができました。」
「米国および世界中で何十万人もの罪のない被害者を狙ったハッキングは、中国政府が支援するハッカーの活動範囲の広さと攻撃性を示しています」
とペンシルベニア州西部地区のエリック・G・オルシャン連邦検事は述べた。
「裁判所が認可したこの作戦は、機密情報を盗み、破壊的なサイバー攻撃を仕掛けるよう設計された高度なボットネットを破壊しました。私たちは政府内外のパートナーと協力し、あらゆる手段を駆使して、世界のサイバーセキュリティを守り、維持していきます。」
「FBIの捜査で、中国に拠点を置く上場企業が、世界中の何千もの消費者向けデバイスをハッキングして制御する機能を顧客に公然と販売していることが明らかになった。この作戦は、米国はこのような恥知らずな犯罪行為を容認しないという明確なメッセージを中国に送るものだ」
とFBIサンディエゴ支局のステイシー・モイ特別捜査官は述べた。
裁判所の文書によると、このボットネットは北京に本社を置く上場企業、インテグリティ・テクノロジー・グループによって開発され、管理されていた。
同社は、顧客がログインして特定の感染した被害者のデバイスを制御できるオンラインアプリケーションを構築し、その中には「脆弱性アーセナル」と呼ばれるツールを使用した悪意のあるサイバーコマンドのメニューも含まれていた。
このオンラインアプリケーションには、※インテグリティ・テクノロジー・グループが使用する主要な公開ブランドの1つである「KRLab」という目立つラベルが付けられていた。
※インテグリティ テクノロジー グループ株式会社(旧称:北京インテグリティ テクノロジー株式会社)は、主にネットワーク セキュリティ製品の研究開発、製造、販売、およびネットワーク セキュリティ サービスに従事する中国に拠点を置く企業です。同社の製品とサービスは、主にネットワーク シューティング レンジ製品、セキュリティ制御およびハニーポット製品、セキュリティ ツール製品、セキュリティ保護シリーズ サービス、およびネットワーク セキュリティ コンペティション サービスで構成されています。同社のセキュリティ ツール製品は、政府、個人、企業、および機関によって使用されています。
FBI は、Integrity Technology Group がボットネットの開発と管理に加え、民間部門で「Flax Typhoon」として知られる中国を拠点とするハッカーによるコンピュータ侵入活動にも関与していると評価しています。
Microsoft Threat Intelligence は、 Flax Typhoon を 、2021 年から活動している中国を拠点とする国家レベルのアクターであり、台湾などの政府機関や教育機関、重要な製造業、情報技術組織を標的にしていると説明しています。FBI の調査は Microsoft の結論を裏付け、Flax Typhoon が複数の米国および外国の企業、大学、政府機関、通信事業者、メディア組織を攻撃したことが判明しました。
Integrity Technology Group の戦術、技術、手順を説明するサイバーセキュリティ勧告も、 FBI、国家安全保障局、米国サイバーコマンドのサイバー国家ミッションフォース、および※オーストラリア、カナダ、ニュージーランド、英国のパートナー機関によって本日公開されまし た。
※アングロサクソンじゃなくて、「ファイブアイズ」
ファイブ・アイズ 米英などアングロサクソン系の英語圏5カ国によるUKUSA協定に基づく機密情報共有の枠組みの呼称。 米英が立ち上げ、1950年代までにカナダ、オーストラリア、ニュージーランドが加わった。
政府のマルウェア無効化コマンドはマルウェアの本来の機能と相互作用し、作戦前に徹底的にテストされました。
予想通り、作戦は感染したデバイスの正当な機能に影響を与えず、コンテンツ情報も収集しませんでした。
FBI は、裁判所が認可したこの作戦の影響を受けたデバイスの米国所有者に通知しています。
FBI はインターネット サービス プロバイダーを通じて被害者に連絡し、プロバイダーが顧客に通知します。
FBIサンディエゴ支局とサイバー部門、ペンシルバニア州西部地区の米国検事局、司法省国家安全保障局の国家安全保障サイバーセクションが、国内の妨害活動を主導した。
また、刑事局のコンピュータ犯罪および知的財産セクションも支援を提供した。
これらの取り組みは、フランス当局や、2023年7月にRaptor Trainと名付けられたこのボットネットを初めて特定し、説明したLumen Technologiesの脅威インテリジェンスグループであるBlack Lotus Labsなどのパートナーの協力なしには成功しなかっただろう。
参考 Black Lotus Labs®とは何ですか?
Lumen の脅威調査および運用部門として、当社は比類のないネットワーク可視性を活用してお客様のビジネスを保護し、インターネットをクリーンな状態に保ちます。当社のビジネス向け脅威管理ソリューションである Lumen® Rapid Threat Defense は、グローバル ネットワーク データ フローと機械学習アルゴリズムを使用して、保護を自動化し、脅威を無力化します。詳細については、Black Lotus Labs X/Twitter フィードおよびブログ アーカイブをご覧ください。
コンピュータまたはデバイスが侵害されたと思われる場合は、 FBI のインターネット犯罪苦情センター (IC3)にアクセスする か、 CISA にオンラインで報告してください。また、お近くの FBI 支局に直接連絡することもできます。
FBIは、Integrity Technology GroupとFlax Typhoonのコンピュータ侵入活動の捜査を継続しています。了
感想
台湾は狙われていたらしいが、日本は?
2023年Microsoftによると、台湾以外の東アジア、北米、アフリカでも同様の被害が観察されているとのこと。
FBIによると、世界中で120万台以上のデバイスが、一度にMiraiマルウェアの亜種に感染しており、その中には米国を拠点とする被害デバイス38万5000台以上も含まれている
FBIは6月5日時点で、「データによれば、米国ベースのデバイス約12万6000台を含む約26万台のデバイスが感染していた」と述べた。