RSAの研究者らは、世界の民主主義国や海洋ハードウェアメーカーに損害を与えて北京の海軍力と貿易協定を強化することを目的とした5年間にわたる中国のハッキング作戦を明らかにしたと主張している。
今週サンフランシスコで開催されたRSAセキュリティカンファレンスに合わせて都合よく発表されたレポートの中で、IT脅威監視団体ファイア・アイは、APT40と呼ばれる国家支援ハッカー集団が製造業者に侵入し、中国海軍の近代化に利用できる技術設計図や機密情報を盗み出し、さらには外国の選挙に影響を与えようとしたと主張した。
FireEyeのフレッド・プラン氏、ナラニ・フレイザー氏、ジャクリーン・オリアリー氏、ヴィンセント・キャノン氏、ベン・リード氏は月曜日、サイバー侵入はTEMP.PeriscopeとTEMP.Jumperという2つの別々のハッカー集団によるものだと当初考えていたと説明した。しかし、実際には研究者らによってこの2つの活動は1つにまとめられ、北京が支援するハッカー集団「APT40」によるものとされた。
事件の真相はこうだ。中国は最新技術を駆使した新型艦艇で海軍力を強化したいと考えており、政府傘下のハッカーたちに世界中のメーカーから部品の情報を盗むよう命じた。スパイたちはまた、中国の国際貿易ルート改善を目指す「一帯一路」構想に有利になるよう、各国の選挙に介入しようとした。
「このグループは、特にエンジニアリング、輸送、防衛産業、特に海洋技術と重なる分野を標的にしています」とFireEyeチームは主張している。「最近では、カンボジア、ベルギー、ドイツ、香港、フィリピン、マレーシア、ノルウェー、サウジアラビア、スイス、アメリカ、イギリスなど、一帯一路構想にとって戦略的に重要な国々を特に標的にしていることも確認されています。」
証拠を見せてください
FireEyeは、中国を非難するにあたり、標的の業種と所在地(これらは中国の海軍の利益と関連していた)、そしてハッキングの時間帯を特定した。ほとんどの攻撃は中国の営業時間中に行われた。ハッカーは中国国内のサーバーも利用しており、研究者が調査したコマンド&コントロールPCはすべて中国語設定だった。
もちろん、犯人特定は困難です。皮肉屋の人は、これはすべて中国に責任をなすりつけるための仕組まれた情報だと言うでしょう。しかし、FireEyeが出した結論はこうです。「犯人は北京だった」。
APT40グループは、標的に不正な添付ファイルを開かせるという実績のあるスピアフィッシング攻撃の手法に加え、特定のウェブページにエクスプロイトコードを埋め込み、標的がアクセスした際にバックドア型マルウェアをシステムにインストールしようと試みました。感染すると、コンピュータが遠隔操作され、スパイ活動が行われる可能性があります。
選挙介入は今や悪事だと思う? 2020年に向けて準備万端、米情報機関長官が議会に訴え
続きを読む
そこから、中国の攻撃者は感染したマシンのアカウント認証情報を収集し、それを用いて標的企業のネットワークの他の領域にアクセスし、偵察活動を行ったとされています。最終的に、ハッカーたちは発見した設計図や機密情報をアーカイブ化して持ち出し、複数のマシンを経由して転送した後、最終的に安全なサーバーにダウンロードしました。
興味深いことに、海事技術への関心は長くは続かなかった。FireEyeは、過去2年間でこのグループの関心は、中国が貿易上の利益を有する国々の選挙介入へと移ったと指摘している。
「APT40が2017年に選挙関連の標的に範囲を広げたことを踏まえ、中国の一帯一路構想などの出来事を背景に、このグループの今後の標的は海事以外の分野にも影響を及ぼすと、ファイア・アイは中程度の確信を持って評価している」と結論付けている。
「特に、一帯一路の個々のプロジェクトが展開されるにつれて、プロジェクトの地域的な反対派に対するAPT40の活動が継続する可能性が高い。」®
