Insiktレポート

RedMike(Salt Typhoon)が世界の通信事業者の脆弱なCiscoデバイスを悪用

投稿: 2025年2月13日
作成者 : Insikt Group®

insikt group logo

Executive Summary

Between December 2024 and January 2025, Recorded Future’s Insikt Group identified a campaign exploiting unpatched internet-facing Cisco network devices primarily associated with global telecommunications providers. Victim organizations included a United States-based affiliate of a United Kingdom-based telecommunications provider and a South African telecommunications provider. Insikt Group attributes this activity to the Chinese state-sponsored threat activity group tracked by Insikt Group as RedMike, which aligns with the Microsoft-named group Salt Typhoon. Using Recorded Future® Network Intelligence, Insikt Group observed RedMike target and exploit unpatched Cisco network devices vulnerable to CVE-2023-20198, a privilege escalation vulnerability found in the web user interface (UI) feature in Cisco IOS XE software, for initial access before exploiting an associated privilege escalation vulnerability, CVE-2023-20273, to gain root privileges. RedMike reconfigures the device, adding a generic routing encapsulation (GRE) tunnel for persistent access.

RedMikeは、世界中で1,000台以上のCiscoデバイスの悪用を試みています。同グループは、通信事業者のネットワークとの関連性に基づいて標的デバイスのリストを作成したと考えられます。Insikt Groupは、RedMikeがアルゼンチン、バングラデシュ、インドネシア、マレーシア、メキシコ、オランダ、タイ、アメリカ合衆国(US)、ベトナムの大学に関連するデバイスを標的にしていることを観察しました。RedMikeは、特にUCLAやデルフト工科大学などの電気通信、工学、技術に関連する分野の研究にアクセスするために、これらの大学をターゲットにした可能性があります。この活動に加えて、2024年12月中旬に、RedMikeはミャンマーに拠点を置く通信事業者Mytelが所有する複数のIPアドレスの偵察も行いました。

パッチが適用されていない外部接続アプライアンスは、組織のインフラストラクチャへの直接の侵入経路として機能します。高度な中国の脅威活動グループは、過去5年間で、初期アクセスのためにこれらのデバイスを悪用する方向に大きく転換しました。RedMike による通信インフラストラクチャの悪用は、技術的な脆弱性にとどまらず、戦略的な諜報上の脅威となります。重要な通信ネットワークへの継続的なアクセスにより、国家が支援する脅威アクターは、地政学的な紛争中に機密の会話を監視し、データフローを操作し、サービスを妨害することが可能になります。RedMikeによる合法的な傍受プログラムと米国の政治家の標的化は、これらの作戦の背後にある戦略的なインテリジェンス目的と、それがもたらす国家安全保障上の脅威を浮き彫りにしています。

中国の国家後援型脅威活動グループにとって、パッチが適用されていないシステムは依然として主要な初期アクセスベクトルであるため、組織、特に電気通信業界の組織は、危険にさらされているネットワークデバイスの修復を優先する必要があります。ネットワーク管理者は、厳格なアクセス制御を実施し、不要なWeb UIの露出を無効にし、不正な設定変更を監視する必要があります。個人は、サイバーセキュリティインフラストラクチャ庁(CISA)および連邦捜査局(FBI)が推奨するように、機密情報にはエンドツーエンドで暗号化された通信方法を使用すべきです。これは、潜在的な盗聴リスクを軽減するために重要です。

さらに、政府やサイバーセキュリティ機関は、脅威インテリジェンスの共有を改善し、ネットワークセキュリティに対する規制コンプライアンスを厳格化する必要があります。米国によるRedMike系列のSichuan Juxinhe Network Technologyへの制裁は、重要インフラにおける国家支援のサイバースパイ活動に対する、より積極的かつ称賛に値する姿勢を示していますが、これらの持続的な脅威に効果的に対抗するためには、強固な国際協力が不可欠です。

主な調査結果

  • 大々的なメディア報道や米国の制裁にもかかわらず、RedMikeは米国を含む世界中の通信事業者を侵害し続けています。
  • RedMikeは、米国に拠点を置く英国(UK)の通信事業者の関連会社と南アフリカの通信事業者のCisco ネットワークデバイスを侵害しました。
  • RedMike exploited privilege escalation vulnerabilities CVE-2023-20198 and CVE-2023-20273 to compromise unpatched Cisco network devices running Cisco IOS XE software.
  • Insikt Groupは、Recorded Future Network Intelligenceを使用して、RedMikeが2024年12月から2025年1月の間に1,000台を超えるCiscoネットワークデバイスを悪用しようとしたことを特定しました。

背景

2024年9月下旬、メディア報道(12)によると、中国政府が支援するグループ「Salt Typhoon」が、Verizon(1)、AT&T、Lumen Technologiesを含む米国の大手通信会社のネットワークを侵害したと報じられました。この活動は世界中の通信組織に影響を与えた可能性があり、一部の報道機関は、Salt Typhoonが少なくとも80の組織を侵害したと報告しています。SaltTyphoonは、通信事業者へのアクセスを利用して、米国の合法的な傍受ターゲットを監視し、米国の重要な政治家の通信を傍受しました。Salt Typhoonの侵入の影響は米国政府の最高レベルにまで及んでいます。サイバーセキュリティの専門家は米国上院に報告を行い、CISAは最近、通信インフラの強化に関するガイダンスを発行し、CISAとFBIは機密性の高い通信に関し暗号化されたエンドツーエンドのメッセージングアプリケーションの使用を推奨する共同警告を発行しました。

Insikt Group tracks Salt Typhoon-aligned activity as RedMike. Salt Typhoon is a group name given by Microsoft Threat Intelligence; at this time, Microsoft has not published publicly available technical details of the group's activity. The only public information Microsoft has shared confirms an overlap with two existing threat activity group names: GhostEmperor (Kaspersky) and FamousSparrow (ESET).

2025年1月17日、米国財務省外国資産管理局(OFAC)は、RedMike活動に直接関与したとして、四川省に拠点を置くサイバーセキュリティ企業、Sichuan Juxinhe Network Technology Co., Ltd.に制裁を科しました。OFACは、Sichuan Juxinhe Network Technology Co., Ltd.が米国の通信・インターネットサービス事業者企業の搾取に直接関与していたと述べました。OFACによると、中国国家安全部(MSS)は、Sichuan Juxinhe社を含む複数のコンピューターネットワーク悪用企業と強い関係を維持しています。

技術的分析

Cisco IOS XE Web UIの悪用

Using Recorded Future Network Intelligence, Insikt Group identified that since early December 2024, RedMike has attempted to exploit over 1,000 internet-facing Cisco network devices worldwide, primarily those associated with telecommunications providers, using a combination of two privilege escalation vulnerabilities: CVE-2023-20198 and CVE-2023-20273. When successfully compromised, the group uses the new privileged user account to change the device's configuration and adds a GRE tunnel for persistent access and data exfiltration.

The privilege escalation vulnerability CVE-2023-20198 was found in the Cisco IOS XE software web UI feature, version 16 and earlier, and published by Cisco in October 2023. Attackers exploit this vulnerability to gain initial access to the device and issue a privilege 15 command to create a local user and password. Following this, the attacker uses the new local account to access the device and exploits an associated privilege escalation vulnerability, CVE-2023-20273, to gain root user privileges.

RedMike Cisco network 図 1: RedMike Cisco network device exploitation infrastructure (Source: Recorded Future)

RedMikeが狙ったCiscoデバイスの半数以上は、米国、南米、インドに存在していました。残りのデバイスは、他の100か国以上に広がっていました。選択されたデバイスは主に通信事業者に関連していますが、13台はアルゼンチン、バングラデシュ、インドネシア、マレーシア、メキシコ、オランダ、タイ、アメリカ合衆国、ベトナムの大学に関連付けられていました。

最先端の研究に携わることの多い大学は、中国の国家支援型脅威活動グループにとって、貴重な研究データや知的財産を獲得するための格好の標的となります。これまでの例としては、生物医学、ロボット工学、海事研究のために大学をターゲットにしたAPT40、医学研究のためのRedGolf(APT41)、そして学者を直接ターゲットにしたRedBravo(APT31)などがあります。中国のサイバー戦略は、その広範な経済・軍事目標と合致しており、大学は長期的な情報収集と技術獲得のための価値の高い標的となっています。

RedMikeは、特にUCLAデルフト工科大学などの電気通信、工学、技術に関連する分野の研究にアクセスするために、以下の大学をターゲットにした可能性があります。

  • カリフォルニア大学ロサンゼルス校(UCLA)—米国
  • カリフォルニア州立大学学長室(CENIC)— 米国
  • ロヨラ・メリーマウント大学 — US
  • ユタ工科大学 — 米国
  • Universidad de La Punta — アルゼンチン
  • イスラム工科大学(IUT)—バングラデシュ
  • Universitas Sebelas Maret — インドネシア
  • Universitas Negeri Malang — インドネシア
  • マラヤ大学 — マレーシア
  • 国立自治大学 — メキシコ
  • デルフト工科大学 — オランダ
  • スリパトゥム大学 — タイ
  • ホーチミン市医科薬科大学 — ベトナム

Geographical spread of Cisco Figure 2: Geographical spread of Cisco devices targeted by RedMike (Source: Recorded Future)

RedMikeのスキャンおよび悪用活動は、2024年12月から2025年1月にかけて6回発生しました。

  • 2024-12-04
  • 2024-12-10
  • 2024-12-17
  • 2024-12-24
  • 2025-01-13
  • 2025-01-23

インターネットに公開されている IOS XE ソフトウェアの Web UI を備えた Cisco ネットワークデバイスを操作するネットワーク管理者は、緩和策セクションに記載された日付とアドバイスを使用して、潜在的な RedMike の悪用活動を特定することができます。

Insikt Groupは、インターネットスキャンデータを使用して、Web UIがインターネットに公開されている12,000台以上のCiscoネットワークデバイスを特定しました。1,000台以上のCiscoデバイスが標的となりましたが、Insikt Groupは、この数字が公開されたデバイスの8%に過ぎず、RedMikeが通信事業者に関連するデバイスを選択する定期的な偵察活動に従事していたことを考えると、この活動は焦点を絞ったものである可能性が高いと評価しています。

侵害された通信事業者のデバイス

Insikt Groupは、Recorded Future Network Intelligenceを使用して、RedMikeインフラストラクチャと通信している7台の侵害されたCiscoネットワークデバイスを観察しました。これには、以下に関連付けられたデバイスが含まれます。

  • 英国の通信事業者の米国子会社
  • 米国のインターネットサービスプロバイダー(ISP)および通信会社
  • 南アフリカの通信事業者
  • イタリアのISP
  • タイの大手通信事業者

RedMikeは、侵害されたCiscoデバイスとそのインフラストラクチャの間にGREトンネルを構成しました。GREは、ポイントツーポイント接続内でさまざまなネットワーク層プロトコルをカプセル化するために使用されるトンネリングプロトコルで、Ciscoネットワークデバイスで設定可能な標準機能です。これは一般的に、仮想プライベートネットワーク (VPN) の作成、異なるネットワークタイプ間の相互運用性の実現、IPネットワークを介したマルチキャストまたは非IPトラフィックの転送に使用されます。脅威活動グループは、GREトンネルを利用して、ファイアウォールや侵入検知システムを回避する隠密通信チャネルを確立し、持続性を確保します。これらのトンネルは、盗まれたデータをGREパケットにカプセル化することで、ネットワーク監視を回避し、ステルス性の高いデータ流出を可能にします。

ミャンマーの通信事業者に対する偵察

2024年12月中旬、RedMikeは、Ciscoネットワークデバイスを悪用したものと同じインフラストラクチャから、ミャンマーに拠点を置く通信事業者Mytelが運営する複数のインフラストラクチャ資産(おそらく同社のメールサーバーを含む)に対して偵察を行いました。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連ニュース&研究