レジスター紙の取材によると、ハッカーたちは世界中の少なくとも10社の携帯電話会社のネットワークに侵入し、長年にわたり潜伏していた。これは、長期にわたる標的を絞った監視活動の一環であった。このスパイ活動は現在も継続中だとされている。
米国のセキュリティ企業サイバーリーズンのサイバースパイハンターは月曜日、侵入を実行した犯罪者は、マルウェアとスキルから判断して、APT10と呼ばれる悪名高い北京支援のハッカー集団の一員、もしくはおそらく故意に彼らと全く同じように活動している誰かである、とエル・レグ紙に語った。
誰であれ、スヌープたちは過去2年以上にわたり、世界中に点在する10以上の携帯電話ネットワークに潜入していたようです。伝えられるところによると、ハッカーたちは通信事業者のインフラ上に独自のVPNサービスを展開し、侵入した社内サーバーやワークステーションを経由することなく、迅速かつ永続的に通信事業者に直接アクセスすることに成功していたケースもあったようです。これらのVPNサービスは、通信事業者のITスタッフには検知されませんでした。
「実に厚かましい行為だ」と、サイバーリーズンの主席セキュリティ研究者アミット・セルパー氏は数時間前にエル・レグ紙に語った。「ハッキングされたマシンを使うとかなりの遅延が発生することに気付き、『VPNをインストールして済ませよう』と考えたのだろう。そもそも、それらの接続の送受信が(ネットワーク監視によって)監視されているのかどうかさえ分からない」
数百ギガバイトの個人情報
検知されなかったVPNの展開は、ハッカー集団が名前の公表されていない通信事業者にどれほど深く侵入し、任務遂行に必要なほぼすべての情報を盗み出すことができたかを如実に物語っています。彼らは、数億人の加入者に関する数百ギガバイトにおよぶ通話記録、テキストメッセージ、デバイスと顧客のメタデータ、そして位置情報へのアクセスを狙っていました。
伝えられるところによると、これはすべて、政治家、外交官、外国のエージェントなど、20~30人ほどの重要ターゲットをスパイし、その居場所を収集するために行われたとのことです。こうしてハッカーとその親玉たちは、ターゲットが誰と会話したか、どこで働き、どこに滞在しているかなどを把握することができたのです。
サイバーリーズンのチームは今年初めに侵入の兆候を捉え、それ以来調査を続けており、このサイバー攻撃を「オペレーション・ソフトセル」と名付けています。ハッカーたちは極めて忍耐強いアプローチを取り、正確かつ定期的に行動することで、密かにスパイ活動を展開していたことが判明しました。有用な内部データは、必要に応じて複数のバウンスボックスを経由して持ち出される前に、パスフレーズを使用して圧縮・暗号化されていました。
サーパー氏によると、侵入者は通常、企業の公開サーバー(例えばMicrosoft IISが稼働するウェブサーバー)の既知の脆弱性を悪用して電話ネットワークの防御をすり抜ける。そこから侵入者は、中国のハッカーが好むChina Chopperなどのウェブシェルをインストールし、任意のコマンドを実行する。この足掛かりから、侵入者はネットワークの他の部分に非常にゆっくりと忍び込み、システムからシステムへと移動しながらスタッフの認証情報を収集し、侵入したマシンを使って通信会社のActive Directory内の別のマシンに侵入する。
乗っ取られたWindowsマシンからログイン情報を抜き出すために、Mimikatzの改変版が使用され、ローカルネットワーク上で攻撃対象となるコンピューターを見つけるためにNetBIOSスキャナーが使用されました。PoisonIvyリモートアクセスツールなどのバックドアがシステムにインストールされ、遠隔操作や情報窃取が行われました。
英国の諜報機関幹部、中国の巨大IT企業は英国にとって安全保障上の脅威だと主張
続きを読む
ハッカーたちは、痕跡を隠すために、長期間にわたって活動を休止するだろう。
「彼らはやって来て、何かをして、1~3ヶ月間姿を消す」とサーパー氏は語った。「そしてまたやって来て、姿を消す、という繰り返しだ」
このような活動の停滞は、特に中国のハッカー集団に関しては前例のないことではありません。中国のAPT集団によるスパイ活動は、活発な活動の合間に何年も停止されることがあります。
ハッカーが長年にわたりネットワーク上に潜伏し、企業データの最も機密性の高いサイロに独自のプライベートトンネルでアクセスしていると考えるだけで、情報セキュリティのプロフェッショナルなら誰もが激怒するだろう。しかし、サイバーリーズンは、侵入を受けた通信事業者を厳しく非難すべきではないと警告している。通信事業者は北米以外にも、ヨーロッパ、アフリカ、アジア、中東など世界中に拠点を置いていると言われている。この特定のハッカー集団に乗っ取られた通信事業者がさらに発見される可能性もあることを念頭に置いておく必要がある。サイバーリーズンは、侵入されたことが分かっている事業者には警告を発したと述べている。
たとえ通信会社が侵入に気付いていたとしても、中国政府などのリソースを使った、断固とした組織的なハッキング作戦を防ぐのは、多くの携帯電話事業者にとって至難の業だろう。
「彼ら(侵入者)は非常に優秀な人材と大勢の人材、そして必要なことを何でもする時間を持っています」と、サイバーリーズンのセキュリティ対策担当副社長、モル・レヴィ氏は語った。「企業にとって、たとえセキュリティチームが50人しかいなくても、準備できるようなものではありません。まるでダビデとゴリアテのような存在です。」®
