東南アジアの5つの通信事業者が中国のスパイ3グループにハッキングされる

china

東南アジアの5つの大手通信事業者が、過去数年の間に異なる中国のサイバースパイグループによってハッキングされていたことがわかりました。

セキュリティ企業Cybereasonのシニアディレクター兼脅威研究責任者であるAssaf Dahan氏は、「数千万人の顧客を抱えるグローバルな通信事業者で、我々の分析によると、侵入の背後にある攻撃者の目的は、通信事業者への継続的なアクセスを獲得・維持し、今後のサイバー攻撃を容易にすることであり、通信事業者への継続的なアクセスと、機密情報の収集によるサイバースパイ活動の促進であると分析しています。」と述べています。

https://www.cybereason.com/blog/deadringer-exposing-chinese-threat-actors-targeting-major-telcos

また、ドメインコントローラー、ウェブサーバー、Microsoft Exchangeサーバーなどの主要なコンポーネントも侵害されました。

2021年初頭、Cybereason Nocturnusチームは、東南アジアの通信業界をターゲットにして検出された侵入のクラスターを調査しました。この調査では、3つの活動グループが特定され、いずれも中国の国家利益を代表して活動していると疑われる既知の脅威アクターとの重要な関連性が示されました。

今回の報告書は、バイデン政権が中国国家安全部を公式に非難した後に発表されたもので、この攻撃はパッチが適用されていないMicrosoft Exchange Serverの脆弱性を悪用し、世界中の何千もの組織を危険にさらしました。今回の調査では、これらの脆弱性を利用した攻撃が中心となっています。

分析の結果、これらの攻撃の背後にある攻撃者の目的は、通信事業者への継続的なアクセスを獲得・維持し、機密情報を収集することでサイバースパイ活動を促進することであり、CDR(Call Detail Record)データを格納する課金サーバーなどの注目度の高いビジネス資産や、ドメインコントローラー、ウェブサーバー、Microsoft Exchangeサーバーなどの主要なネットワークコンポーネントを危険にさらすことであったと評価しています。

Cybereason社は、発表したレポートの中で、今回の侵入行為を、3つの異なる中国の脅威主体に対応する3つの活動クラスタと関連付けています。

  • Gallium (Soft Cell):クラスタA
  • Naikon APT:クラスタB
  • Group-3390 (APT27, Emissary Panda):クラスタC

3つのグループは、通信会社に侵入するために異なる技術を使用しており、一部は何年も被害者のネットワークで活動を続けており、最も古い侵入は2017年にまでさかのぼります。

3つのグループの足跡

クラスターA:2012年から活動を開始し、これまで東南アジアを含む複数の地域の通信事業者を攻撃していた活動グループ「Soft Cell」が運営していると評価されており、2019年にCybereasonが初めて発見しました。我々は、Soft Cell活動グループが中国の利益のために活動していると評価しています。このクラスター周辺の活動は2018年に開始され、2021年第1四半期まで続いています。

クラスターB:Naikon APT脅威アクターによって運営されていると評価しています。この脅威グループは、2010年から活動している非常に活発なサイバースパイグループで、主にASEAN諸国をターゲットにしています。Naikon APTグループはこれまで、中国人民解放軍(PLA)成都軍区第二技術偵察局(軍部カバー指定番号78020)に帰属していました。このクラスター周辺の活動は、2020年第4四半期に初めて観測され、2021年第1四半期まで続きました。

クラスターC:複数のMicrosoft ExchangeおよびIISサーバーに展開された独自のOWAバックドアを特徴とする「ミニクラスター」です。このバックドアを分析すると、「Iron Tiger」と呼ばれる作戦で使用されていたことが確認されている以前に文書化されたバックドアと大きなコードの類似性が見られます。このバックドアは、様々な研究者によってGroup-3390(APT27 / Emissary Panda)として追跡されている中国の脅威グループによるものです。このクラスター周辺の活動は、2017年から2021年第1四半期にかけて観測されました。

しかし、Cybereasonは、3つのグループが中国のスパイ活動とある程度の関連性があるにもかかわらず、3つのグループが協力しているようには見えないとも述べています。

「協力していないということではなく、分からないというのが本当のところです。今回の調査結果をコミュニティで共有することにした理由の一つは、時間の経過とともに、新しい情報が出てくるかもしれないと期待しているからです。さらに、今回の調査結果と添付された侵害の指標を共有することで、さらなる被害者の発見にもつながります。」

Dahan氏は、Cybereasonが3つのグループと東南アジアの5つの通信事業者への侵入を結びつけたと述べていますが、同じ3つのグループは他の地域でも活動を行っていることが知られています。

「他の通信事業者が侵害されている可能性が高い 」とDahan氏は述べています。

Leave a Reply

Your email address will not be published.