米国は月曜日、米国の企業、政治家、政党を含む多数の重要インフラ組織、企業、個人のコンピューターネットワーク、電子メールアカウント、クラウドストレージに侵入したとして中国人男性7人を告発した。
アメリカの検察当局によると、スパイ容疑者はAPT31のメンバーである。APT31は中国国家安全部(MSS)が武漢で運営しているとされ、別名ジルコニウム、バイオレット・タイフーン、ジャッジメント・パンダ、アルタイルとも呼ばれるサイバースパイ集団である。
そして英国政府によれば、これは2021年に英国の政治家の電子メールアカウントへの侵入を試みたものと同じグループだという。
英国と米国は、国家安全部(MSS)とそのコンピュータ侵入活動のフロント企業とされる武漢小瑞志科技有限公司と、スパイ活動に関与した疑いのある7人の中国人のうち2人を制裁対象とした。英国はまた、2021年から2022年にかけて中国の工作員によって選挙管理委員会が不正アクセスされ、電子メールデータと選挙人名簿のデータが盗まれたとみられることを本日別途明らかにした。
米国が月曜日に起訴したAPT31の構成員と疑われる7人は、倪高斌(38歳)、翁明(37歳)、程鋒(34歳)、彭耀文(38歳)、孫小慧(38歳)、熊王(35歳)、趙光宗(38歳)である。高斌と光宗は、武漢小瑞芝事件に関連して英国と米国から制裁を受けた2人だった。
全員が中華人民共和国に居住していると考えられているため、少なくとも容疑がかけられた罪で逮捕され、米国に引き渡されて裁判を受ける可能性はゼロに近い。
とはいえ、もしかしたら金がすべてを変えるかもしれない。アメリカ政府は、7人に関する情報に対し、誰かが密告して連邦政府がスパイ容疑者を裁きにかけるのを手伝ってくれることを期待し、最高1000万ドルの報奨金を用意した。あるいは、これは単なる見せかけのポーズなのかもしれない。NSAやCIA、MI6やGCHQが一日中何をしているのか、誰も疑問に思わないだろう。
米国務省によるAPT31容疑者の指名手配ポスター…クリックして拡大
米国の被告人に対する起訴状[PDF]によると、7人の被告人は他のMSSの情報員、請負業者、サポート担当者数十人と協力して、北京が関心を持つコンピューターネットワークとオンラインアカウントに侵入し、スパイ活動を行った。
「数千人」が標的、「数百万人」が影響を受ける可能性がある
少なくとも2010年以降、このグループは「数千」に及ぶ米国および外国の個人や企業を標的とした大規模な世界規模の攻撃キャンペーンを展開しており、特にジャーナリスト、民主化活動家、外交政策専門家、学者、IT、通信、製造・貿易、金融、コンサルティング、法律、研究分野の従事者、そして中国政府に批判的な政府関係者、政治家、候補者に重点を置いていた。企業秘密や個人データが盗まれたとされている。
「これらのコンピュータネットワーク侵入活動の結果、数百万人のアメリカ人の職場および個人のメールアカウント、クラウドストレージアカウント、通話記録が確実に、あるいは潜在的に侵害された。これには、民主的なプロセスや制度を標的とした悪意ある影響力行使に利用される可能性のある情報、アメリカ企業の経済計画、知的財産、企業秘密などが含まれていた。また、中国が米国の技術を中国に移転するために国家支援する体制によって毎年失われていると推定される数十億ドルの損失の一因となった」と起訴状は強く非難した。
例えば、中国のGメンは、著名なアメリカ人ジャーナリストを装い、政治家やその家族の個人アカウントや職場アカウントに「数千」もの巧妙なメールを送信したと主張されています。これらのメッセージには悪意のあるリンクが含まれており、開封すると受信者の位置情報やIPアドレス、さらにはネットワークやメールへのアクセスに使用されたデバイスに関する情報が漏洩します。
- 中国のスパイがF5とConnectWiseのバグを利用して米国と英国の主要ネットワークへのアクセスを販売
- 暴露:犯罪を行うために数千台のベアボーンモブを運営する中国のスマートフォンファーム
- 北京の支援を受けたサイバースパイが23カ国70以上の組織を攻撃
- ロシアのCozy Bearが偽のディナー招待状でドイツ政治家をフィッシングしていたことが発覚
起訴状によると、「共謀者はこの手法を利用して、米国の政府高官や政治家、米国の二大政党の選挙運動スタッフを含む受信者の家庭用ルーターやその他の電子機器をより直接的かつ巧妙に標的にすることを可能にした」という。
APT31の標的には、ホワイトハウス、司法省、商務省、財務省、国務省、労働省、運輸省の職員、さらに国会議員や司法省高官の配偶者、ホワイトハウス高官、複数の米国上院議員が含まれていたとされる。
検察官によると、米国以外では、この犯罪組織の標的には、1989年の天安門事件と虐殺の記念日である2020年に設立されたグループである中国問題に関する列国議会同盟(IPAC)のメンバー、中国に批判的な反体制活動家や学者、そして英国議会のITアカウント43件が含まれていた。
フィッシングメールの送信に加え、犯人グループは「RAWDOOR、Trochilus、EvilOSX、DropDoor/DropCatなどの高度なカスタムマルウェア」を使用して被害者のマシンにバックドアを設置し、ペイロードを実行し、機密データを盗んだとされている。
起訴状によると、2016年後半に発生した侵入行為の一つが、ニューヨーク州ロングアイランドにオフィスを構える米国の防衛関連請負業者に対し、ゼロデイ権限昇格エクスプロイトを用いてドリルダウン攻撃を行ったとされている。これは、このチームが侵入を試みた、米軍に製品やサービスを提供する「複数の」請負業者のうちの一つに過ぎないという。
スパイ容疑者はゼロデイ脆弱性を悪用した後、企業ネットワーク内に管理者権限を持つ新しいアカウントを作成し、リモートアクセスおよびAPT31が管理するインフラストラクチャとの接続を確立するためのWebシェルをアップロードし、その後、防衛請負業者のシステムとファイルを盗聴しました。
別の例として、2017年から2019年にかけて、このグループはニューヨーク、カリフォルニア、マサチューセッツ、コロラド、アイダホ、そして海外にある7つのITマネージドサービスプロバイダー(MSP)のネットワークに侵入したとされています。その後、このアクセスを利用して、MSPの顧客のサーバーに侵入したと伝えられています。
カリフォルニア州のMSPだけでも、7つのリモートネットワーク上の少なくとも15台のサーバーに侵入したと主張されています。影響を受けた顧客には、金融会社、原子力エンジニアリング会社、ERP(企業資源計画)会社、そしてその他3社のITマネージドサービスプロバイダーが含まれていました。
その他の被害組織には、「米国の5Gネットワーク機器の大手プロバイダー」、鉄鋼会社、ニューヨークに拠点を置くアパレルメーカー、カリフォルニアのエンジニアリング会社、テキサスのエネルギー会社、その他多数が含まれています。®
