Mandiant が APT1 を公開 – 中国のサイバー スパイ活動ユニットの 1 つと 3,000 の指標をリリース

本日、The Mandiant® Intelligence Center™ は、APT1 の複数年にわたる企業規模のコンピューター スパイ活動を暴露する前例のないレポートをリリースしました。 APT1 は、Mandiant が世界中で追跡している数十の脅威グループの 1 つであり、盗んだ情報の量という点で最も多用されているグループの 1 つと考えられています。

レポートのハイライトは次のとおりです。

  • APT1 を中国人民解放軍 (PLA) の第 2 局 (General Staff Department) (GSD) の第 3 局 (Military Cover Designator 61398) に関連付ける証拠。
  • 2006 年以降、複数の業界で 141 人の被害者に対して行われた APT1 経済スパイ活動のタイムライン。
  • 実際の APT1 活動を示すビデオの編集を含む、APT1 の手口 (ツール、戦術、手順)。
  • 40 を超える APT1 マルウェア ファミリのタイムラインと詳細。
  • APT1 の大規模な攻撃インフラストラクチャのタイムラインと詳細。

Mandiant は、APT1 攻撃に対する防御を強化するために、3,000 以上の指標を含むデジタル付録もリリースしています。この付録には以下が含まれます。

  • ドメイン名やマルウェアの MD5 ハッシュなど、3,000 を超える APT1 インジケーターのデジタル配信。
  • APT1 が使用する 13 個の X.509 暗号化証明書。
  • APT1 侵害の痕跡 (IOC) のセットと、APT1 のデジタル兵器の武器庫にある 40 を超えるマルウェア ファミリの詳細な説明。
  • Mandiant の無料のホストベースの調査ツールであるRedline ™、または Mandiant の商用エンタープライズ調査ツールである Mandiant Intelligent Response® (MIR) と組み合わせて使用できる IOC。

APT1 の活動の規模と影響により、私たちはこのレポートを書かざるを得なくなりました。ユニット 61398 に関する私たちの情報の大部分を公開するという決定は、骨の折れるものでした。従来の非開示ポリシーに関する「もしも」の議論として始まったものは、APT1 を公開するという当社の決定によるプラスの影響が、この特定の APT グループに関する情報を収集する能力の多くを失うリスクを上回るという認識にすぐに変わりました。脅威が中国から発信されていることを認識する時が来ました。脅威と効果的に戦うために、セキュリティ専門家を武装させ、準備するために私たちの役割を果たしたいと考えました。帰属の問題は、APT サイバー スパイ活動の状況に対する一般の人々の理解において、常にミッシング リンクでした。中国との確固たるつながりを確立しなければ、APT の活動は調整の取れていない、単に犯罪的な性質のものである、またはより大きな国家安全保障や世界経済の懸念の周辺にあるものとして、オブザーバーが却下する余地が常にあります。このレポートが、APT ネットワーク侵害に対抗するための理解の向上と協調的な行動につながることを願っています。

1 つのグループによる長年にわたる激しいサイバー スパイ活動が生み出す複雑な全体像を、1 つのエンティティだけで理解することはできません。このようなレポートが生成する可能性のあるデータと会話の急増を楽しみにしています。

ダン・マクウォーター

マネージング ディレクター、脅威インテリジェンス

参照: https://www.mandiant.com/resources/blog/mandiant-exposes-apt1-chinas-cyber-espionage-units

コメント

タイトルとURLをコピーしました