包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、TP-Link社のルーターに埋め込まれた悪意あるファームウェアについて明らかにし、この攻撃が中国の国家支援型APTグループ「Camaro Dragon」によることを報告しました。このファームウェアにより、攻撃者は感染した機器の完全な制御が可能になります。
ハイライト
-
CPRは、TP-Linkのルーターに埋め込まれた悪意あるファームウェアについて明らかにしました。このファームウェアにより、攻撃者は感染したデバイスの完全な制御と、検出を回避しつつ侵害されたネットワークにアクセスすることが可能になります。
-
CPRは、この攻撃が中国の支援を受けたAPTグループ「Camaro Dragon」によることを報告しています。このグループの活動は、過去に「Mustang Panda」に帰属していた活動に一致しています。
-
ファームウェアイメージの展開方法は依然明らかではなく、実際の侵入行為への利用方法や関係性についても同様です。
概要
CPRは先般ヨーロッパの外務機関に対する一連の標的型サイバー攻撃について調査し、CPRが「Camaro Dragon」と名付けた中国支援の高度標的型攻撃(APT)グループによる攻撃であると結論付けました。この活動は、一般に「Mustang Panda」に関連すると見なされた活動と構造において著しく一致しています。CPRの調査により、TP-Linkルーター用に作成された悪意あるファームウェアには、「Horse Shell」という名のカスタマイズされたバックドアを含む様々な有害コンポーネントが含まれていることがわかりました。このバックドアによって、攻撃者は感染したデバイスを完全に制御し、検出を回避しながら侵害されたネットワークへのアクセスが可能になります。CPRの徹底的な分析により、こうした悪意ある手口と、より深く掘り下げた分析結果が明らかになりました。
本リリースでは、ルーターに埋め込まれた「Horse Shell」の複雑な詳細を分析により掘り下げ、その機能に関するCPRの見解を紹介し、他の中国による国家支援型グループに関連する他のルーターインプラントとの比較を行います。この検証を通じ、APTグループ「Camaro Dragon」の手口や戦術に光を当て、脅威アクターがネットワーク機器に悪意あるファームウェアを埋め込んで攻撃に利用する方法についてのより深い理解が望まれます。
攻撃について
CPRが調査対象とした「Camaro Dragon」の活動は、主にヨーロッパの外務機関を標的とした攻撃キャンペーンでした。しかし、攻撃の基盤に「Horse Shell」を発見したものの、ルーターへの埋め込みによる攻撃対象者が誰なのかは明らかになっていません。
過去の例を見てみると、ルーターに埋め込まれるインプラントは、多くの場合特に標的となっていない任意の機器にインストールされます。その目的は、メインの感染デバイスと実際のコマンド&コントロールとの間にノードの繋がりを作ることにあります。言い換えれば、家庭用ルーターが感染したからと言ってその世帯主が標的であるわけではなく、単にあくまで目的達成のための手段と考えます。
攻撃者がルーター機器に悪意あるインプラントを感染させた方法は、依然明らかではありません。既知の脆弱性をスキャンしたか、デフォルトもしくは推測が容易なパスワードを認証に使用している端末を狙い、アクセスしたと見られます。今回の調査結果は、「Camaro Dragon」とそのツールセットに関するより深い理解にとどまらず、サイバーセキュリティのより広範なコミュニティに対し、来るべき同様の脅威について理解し防御するために必須となる知識を提供しています。
TP-Linkにとどまらない危険性
機器に埋め込まれるコンポーネントが、ファームウェア依存型ではない性質を持つことが明らかになったことにより、幅広い機器やベンダーが危険にさらされている可能性が示唆されています。この調査結果による組織や個人のセキュリティ態勢の向上への寄与が望まれます。当面の対策としては、ネットワーク機器の更新とセキュリティの確保を常に念頭に置き、ネットワーク上の不審な動きに注意を払うことが必要です。
ネットワークを保護するために
「Camaro Dragon」によるTP-Linkルーターへの悪意あるインプラントの発見は、同様の攻撃に対する防御策の重要性を浮き彫りにしています。以下に挙げたのは、脅威検出とネットワーク保護のための推奨事項です。
-
ソフトウェアをアップデートする
攻撃者による脆弱性の悪用を防ぐには、ルーターや他の機器のファームウェアやソフトウェアを定期的にアップデートすることが非常に重要です。
-
デフォルトの認証情報を変更する
インターネットに接続する機器のログイン認証情報を、デフォルトのものからより強力なパスワードに変更し、可能な限り多要素認証を使用しましょう。攻撃者はデフォルト設定や強度の低い認証情報を使用している機器を探すため、インターネット上を頻繁にスキャンしています。
-
チェック・ポイント製品の活用
チェック・ポイントのネットワークセキュリティソリューションは、高度な脅威防御とリアルタイムのネットワーク保護を提供し、APTグループ「Camaro Dragon」のような巧妙な攻撃からネットワークを守ります。これには、エクスプロイトやマルウェア、その他の高度な脅威に対する保護が含まれます。チェック・ポイントのQuantum IoT Protect < https://www.checkpoint.com/jp/quantum/iot-protect/iot-device-security/ > は、IoT機器を自動的に識別、マッピングしてリスク評価を行います。ゼロトラストプロファイリングとセグメンテーションにより、IoT/OT機器に対する、またはそれに由来する不正アクセスを防止し、IoT機器を狙う攻撃をブロックします。
製造業の皆様は、マルウェアやサイバー攻撃から自社製品を保護するためにより良い対策が可能です。米国とヨーロッパにおける新しい規制では、ベンダーとメーカーに対し、機器がユーザーにリスクをもたらさないよう確実にすることと、機器内部へのセキュリティ機能の組み込みが求められています。
Nano Agent®︎を埋め込み搭載したチェック・ポイントのIoT機器ソリューション < https://www.checkpoint.com/jp/quantum/iot-protect/iot-device-security/ > は、ファームウェアのセキュリティが組み込まれた接続機器に、デバイス上のランタイム保護を提供します。このNano Agent®は、ルーターやネットワーク機器などのIoT機器において最高レベルのセキュリティ機能を提供し、悪意あるアクティビティを防止するカスタマイズパッケージです。チェック・ポイントのIoT機器対応Nano Agent®は、メモリ保護、異常検知、コントロールフローインテグリティなどの高度な機能を備え、機器内部で動作して、IoT機器のセキュリティ確保における最前線としての役割を果たします。
本プレスリリースは、米国時間2023年5月16日に発表されたブログ(英語)< https://blog.checkpoint.com/security/check-point-research-reveals-a-malicious-firmware-implant-for-tp-link-routers-linked-to-chinese-apt-group/ > をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
