米国の潜入捜査官が中国のサイバースパイ活動の標的に

中国のサイバー攻撃、米潜入捜査官に疑われる

ルーメン・テクノロジーズの脅威研究部門であるブラック・ロータス・ラボによると、ハッカーは、ISPがネットワーク運用のセキュリティを確保するために広く使用しているソフトウェアであるVersa Directorのゼロデイ脆弱性を悪用し、米国および海外の複数のインターネット企業に侵入した。

ルーメンは、攻撃の発信元が中国である可能性があると疑っている。

この管理者は非常に危険にさらされています。問題は、アカウントがハッキングされたのか、それとも内部者によって中国人がアクセス権を与えられたのかということです。

中国のハッカーがアメリカ政府と軍のアカウントに侵入 https://t.co/bbL3zRKMdi

— ポグ (@OSINT220) 2024年8月27日

ルーメンは次のように指摘した。

「既知および観察された戦術と技術に基づき、Black Lotus Labsは、CVE-2024-39717のゼロデイ攻撃とVersaMemウェブシェルの運用上の使用を、Volt TyphoonおよびBronze Silhouetteとして知られる中国政府が支援する脅威アクターによるものと中程度の確信を持って判断しています。」

ルーメンの研究者らは、米国人被害者4人と外国人被害者1人を特定した。標的には、潜入捜査中の政府関係者や軍関係者、中国にとって戦略的に重要な他のグループが含まれていたと報じられている。

研究者らは、この脆弱性はパッチが適用されていない Versa Director システムに対して依然として有効であると警告している。

米サイバーセキュリティ・インフラセキュリティ庁（CISA）の元事務局長ブランドン・ウェールズ氏は、中国のサイバー攻撃がますます巧妙化していることを強調し、サイバーセキュリティへの投資を増やすよう求めた。

CISAは、中国のハッカーらが最大5年間にわたり米国の公共事業や重要システムに侵入し、アクセスを維持していると報告している。

これは憂慮すべき事態であり、重大な結果を招く可能性がある。最終的には破裂する恐れがある。pic.twitter.com/xLXqm3OeDj

— ダグナム私立探偵 (@Dagnum_PI) 2024年8月27日

彼は次のように述べた。

「中国は米国の重要インフラを標的にし続けています。ボルト・タイフーン作戦の暴露により、中国が使用している戦術や技術に変化が生じたことは明らかですが、中国が米国の重要インフラを危険にさらそうと日々努力し続けていることはわかっています。」

Black Lotus Labs は脆弱性の重大性を強調し、Versa Director を使用している組織にバージョン 22.1.4 以降にアップグレードするよう促しました。

中国は疑惑を否定

中国はこれらの疑惑を否定し、「Volt Typhoon」は実際には「Dark Power」を自称するランサムウェアのサイバー犯罪者グループであり、いかなる国家や地域からも支援を受けていないと主張している。

この否定は大使館報道官の劉鵬宇氏によってなされ、中国外務省報道官の林建氏も4月15日の環球時報との通信で同様の発言をした。

調査結果によると、Volt Typhoon は「VersaMem」と呼ばれる特殊な Web シェルを利用してユーザーのログイン詳細を取得していた。

Versa Director の活用プロセスと VersaMem Web シェル機能の概要

VersaMem は、さまざまなプロセスに添付して脆弱なサーバーの Java コードを操作する、高度な悪意のあるソフトウェアです。

完全にメモリ内で動作するため、検出が特に困難です。

Versa Director サーバーがエクスプロイトの標的に

このエクスプロイトは、インターネットおよびマネージド サービス プロバイダーによって一般的に使用されている Versa Director サーバーを特にターゲットとしており、企業のネットワーク管理システムへの侵入を企む脅威アクターにとって主要なターゲットとなっています。

Versa Networksは月曜日にこの脆弱性を認め、「少なくとも1件の既知の事例」で悪用されたと指摘した。

Lumen によると、VersaMem Web シェルは最初の悪用の直前の 6 月 7 日に VirusTotal で初めて検出された。

VirusTotal の VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) のスクリーンショット (検出数 0 件)

Apache Mavenを使用してコンパイルされたこのマルウェアは、コード内に中国語のコメントを含んでおり、8月中旬の時点ではウイルス対策ソフトウェアによって検出されていませんでした。