Microsoftと国家安全保障局(NSA)は、中国政府が支援したと見られる中国のハッキンググループ「Volt Typhoon」が、グアム島をはじめとする米国の「重要な」システムに監視用マルウェアをインストールしたことを明らかにした。同グループは2021年半ばから活動しており、政府機関のほか、通信、製造、教育などの分野に侵入したとされる。
捜査当局によると、Volt Typhoonはステルス性を優先している。オペレーティングシステムにすでに存在するリソースに依存する「living off the land」テクニックと、直接「hands-on-keyboard」アクションを使用する。彼らは、コマンドラインを使って認証情報やその他のデータをかき集め、その情報をアーカイブして、標的のシステムにとどまるために使用する。また、ルーターなど、自分たちがコントロールする小規模オフィスやホームオフィスのネットワークハードウェアを介してデータトラフィックを送信することで、自分たちの活動を隠そうとするのだ。加えて、カスタムツールを使用することで、プロキシを介したコマンド&コントロールチャネルを構築し、情報を秘匿することが出来る。
このマルウェアは攻撃に使用されていないが、Webシェルベースのアプローチは、インフラに損害を与えるために使用することが出来る。MicrosoftとNSAは、潜在的な被害者がVolt Typhoonの活動を検出し、削除するのに役立つ情報を公開しているが、影響を受けるアカウントを閉鎖するか変更する必要があるため、侵入をかわすのは「困難」である可能性があると警告している。
The New York Times紙の取材に応じた米国政府関係者は、グアムへの侵入は、今年初めに米国の核施設を横切ったスパイバルーンを含む、より大きな中国の情報収集システムの一部であると考えている。グアムにはアンダーセン空軍基地があり、中国が台湾に侵攻した場合に米国が対応するための主要な基地であることから、グアムへの侵入が懸念されている。また、太平洋を航行する船舶の重要な拠点でもある。
Biden政権は、共通のセキュリティ要件の計画を含め、重要なインフラを保護するための取り組みを強化している。米国では近年、ガスパイプラインや食肉業者など、重要なシステムに対する複数の攻撃の餌食となった。Volt Typhoonの発見は、より強固な防御の重要性を強調するものだ。このようなマルウェアは、重要な瞬間に米軍を危険にさらす恐れがある。
Sources
