中国の脅威アクターが、巨大なグローバルネットワークのプロキシデバイスの背後に悪意のある活動を隠すことで、分析技術に対する革新を静かに進めている。問題となっているのは、仮想プライベートサーバー(VPS)と侵害されたスマートデバイスやルーターで構成される広範なインフラストラクチャーであるオペレーショナルリレーボックスネットワーク(ORB)である。Mandiantの分析によると、中国のORBは、攻撃者のIPを静的な侵害指標(IoC)として扱う従来の方法を見直す必要があるほど、一般的で効果的になっている。
ORBは、プライベート企業や中国人民共和国政府内の要素によって維持されており、一度に複数の脅威クラスターを支援する。これらのネットワークは、中国のサーバー、VPS、トラバーサルノード、出口ノード、被害者サーバーの5層で構成されている。ORBは、商業的に借りられたVPSのトラバーサルノードを持つ「プロビジョニングされた」ものと、侵害されたエンドオブライフルーターやIoTデバイスに基づく「非プロビジョニングされた」ものの2つのグループに分類される。これらのネットワークは、世界中から大量に集められたトラバーサルおよび出口ノードを含み、その規模と範囲は防御者が攻撃者を特定しようとする際に大きな障害となる。
Mandiantは、組織がORBを独自の動的な実体として扱い、分析と一貫した監視の対象とする必要があると警告している。攻撃者が使用するインフラストラクチャのパターンを調査し、特定のSSL証明書やSSH証明書のパターンを見ることで、活動のプロファイルを作成し、より柔軟な行動ベースの署名を作成することが推奨される。
【ニュース解説】
中国の脅威アクターが、オペレーショナルリレーボックスネットワーク(ORB)を利用して、その悪意ある活動を隠蔽していることが、セキュリティ企業Mandiantの新たな分析で明らかになりました。ORBは、仮想プライベートサーバー(VPS)や侵害されたスマートデバイス、ルーターなどで構成される広範なインフラストラクチャーであり、攻撃者のIPアドレスを静的な侵害指標(IoC)として追跡する従来の方法を無効にしています。
ORBは、プライベート企業や中国政府内の要素によって運営され、一度に複数の脅威クラスターを支援する能力を持っています。これらのネットワークは、管理サーバー、VPS、トラバーサルノード、出口ノード、被害者サーバーの5層構造を持ち、プロビジョニングされたもの(商業的に借りられたVPSを使用)と非プロビジョニングされたもの(侵害されたエンドオブライフルーターやIoTデバイスを使用)の2種類に分類されます。
このようなネットワークの規模と範囲は、防御者が攻撃者を特定しようとする際に大きな障害となります。さらに、ORBのノードは短命であり、新しいデバイスが数ヶ月ごとに入れ替わるため、防御者がIPアドレスを特定のユーザーに長期間結びつけることを困難にしています。
Mandiantは、組織がORBを独立した動的な実体として扱い、分析と一貫した監視を行う必要があると警告しています。攻撃者が使用するインフラストラクチャのパターンや、特定のSSL証明書やSSH証明書のパターンを調査することで、活動のプロファイルを作成し、より柔軟な行動ベースの署名を作成することが推奨されています。
この分析は、サイバーセキュリティの分野において、攻撃者がどのようにして防御策を回避し、その技術を進化させているかを示しています。また、組織がこれらの脅威に対処するためには、従来の防御方法を見直し、より動的で柔軟なアプローチを取る必要があることを強調しています。このような進化する脅威に対応するためには、セキュリティチームが最新の脅威インテリジェンスを常に追跡し、新しい防御戦略を開発し続けることが不可欠です。
from Chinese 'ORB' Networks Conceal APTs, Render Static IoCs Irrelevant.
