近年、サイバー攻撃の数が大幅に増加しています。ハッカーは個人を攻撃するだけでなく、大企業も攻撃します。彼らの目的は、広範なデータを盗んだり、多額の金銭を強要したりすることです。インターネットプロバイダーもこれらの攻撃から安全ではありません。
出発点としてのインターネットプロバイダー
Evasive Panda または Daggerfly としても知られる中国のハッカー グループとされる StormBamboo は、少なくとも 2012 年以降、スパイ活動家の仲間入りを果たしています。通常、中国本土、香港、マカオ、ナイジェリアなどの地域の組織がターゲットですが、世界的にも活動しています。インターネット サービス プロバイダー (ISP) も、過去にこのグループの被害に遭っています。そのメンバーは、いわゆるドメイン ネーム システム (DNS) ポイズニングと更新リクエストの操作を使用して、マルウェアを注入します。
DNS ポイズニングまたはスプーフィングは、操作されたデータを DNS リゾルバーのキャッシュに挿入する攻撃です。これは、正当なドメイン名を解決したいユーザーが不正な IP アドレスに誘導されることを意味します。その結果、マルウェアを含む偽の Web サイトに送信されたり、個人情報が盗まれたりする可能性があります。
IT セキュリティ会社 Volexity の最新レポートによると、StormBamboo は匿名のインターネット プロバイダーの件でさらに一歩前進したとのことです。このグループは、ポイズニングと安全でない更新メカニズムの攻撃を組み合わせて、プロバイダーを一種の開始点として使用しました。このようにして、ハッカーは macOS および Windows 上の顧客を大規模に攻撃できるようになります。
こちらも興味深い: マルウェアにご注意ください: Windows Update がユーザーをこの邪悪な罠に誘い込む
襲撃で疑惑が確定
スパイグループは作戦のためにMACMAを使用している。このマルウェアは、ブラウザの Cookie や電子メール データなどの機密情報を盗み、攻撃者が制御するサーバーに送信することができます。多くの場合、正規のソフトウェア拡張機能、または今回の場合のようにアップデートを装います。サイバー犯罪者は検出を回避し、バックグラウンドで邪魔されずに悪意のある活動を実行したいと考えています。
「StormBamboo は、計画されたターゲットに侵入するためにサードパーティ (この場合は ISP) を侵害する、非常に洗練された攻撃的な攻撃者である」と Volexity は結論づけています。 「この脅威アクターのさまざまなキャンペーンで使用されたさまざまなマルウェアは、macOS と Windows だけでなくネットワーク デバイスのペイロードも積極的にサポートするなど、多大な取り組みが行われていることを示唆しています。」
この事件は、セキュリティ企業ESETが2023年4月にすでに行っていた疑惑を裏付けるものとなった。当時、それは MgBot とも呼ばれるマルウェア POCOSTICK に関するものでしたが、これもおそらく StormBamboo によって作成されたものでした。当時、攻撃者はインターネット プロバイダーではなく、匿名の中国製ソフトウェアを攻撃していましたが、その手口は今回の事件と似ていました。
こちらも興味深い: 世界規模の iPhone 警報: Apple が 98 か国のユーザーにウイルスについて警告
こうやって自分を守るんだ
DNS ポイズニングや StormBamboo によるようなマルウェア攻撃から保護するには、ユーザーはソフトウェアの更新が HTTPS 経由で行われ、デジタル署名が検証されていることを確認する必要があります。 DNSSEC を実装すると、DNS リクエストを認証できるため、DNS ポイズニングを防ぐことができます。ファイアウォールとネットワーク デバイスを定期的に監視および更新すると、異常なアクティビティを早期に検出してブロックすることができます。
さらに、マルウェアを検出してブロックするには、ウイルス対策ソフトウェアとマルウェア対策ソフトウェアを常に最新の状態に保つ必要があります。 2 要素認証 (2FA) を使用すると、アカウントとシステムのセキュリティがさらに強化されます。