米司法省は、5年間にわたる一連のオンラインハッキングを通じてジェットエンジンの設計図を盗んだとして、中国のスパイ2人を起訴した。
米政府の主張によれば、Zha RongとChai Mengは中国政府の国家安全保障省(JSSD)に勤務しており、フランスの航空宇宙企業の中国事務所で6人のハッカーと2人のスパイと共謀して設計図を盗んだことが起訴状で明らかになった。
スパイたちは、スピアフィッシング、マルウェア、ドメインハイジャックなどさまざまなオンラインハッキング手法を使って従業員のログイン情報を盗み、同社のコンピューターシステムや米国に拠点を置く他の多くの航空宇宙企業のコンピューターシステムに侵入した。
中国スーパーマイクロ社のスーパースパイチップスキャンダルを解読: 私たちは何を知っているのか? そして誰が真実を語っているのか?
続きを読む
ハッキングのプロセスは綿密に計画され、長期間にわたって行われました。当初、ハッカーたちは正規の航空宇宙企業のドメイン名に酷似したドメイン名(例えば、Capstone Turbineの場合は「capstonetrubine.com」(「u」と「r」が入れ替わっている))を登録し、それらのドメインに関連付けられたメールアカウントから特定の従業員にメールを送信しました。これにより、正規の従業員はメールが本物だと信じ込んでいました。
ハッキングチームは従業員のログイン情報を入手した後、正規のメールアカウントを作成し、それを使って他の従業員と連絡を取りました。捜査官はいくつかのミスを発見しました。例えば、ハッカーの1人が自身の個人用メールアカウントを使って新しい正規のメールアカウントをテストしていたことが挙げられます。
その後、複数の企業のサーバーにマルウェアをインストールし、いわゆる「ウォーターホール型」攻撃を実行した。この攻撃では、企業の実在するウェブサイトへの訪問者を追跡・ハッキングした。また、実在する企業のドメインをリダイレクトするために、名前が伏せられたオーストラリアのレジストラにも侵入した。
エンジンを始動
起訴状[PDF]ではこのフランス企業の名前は挙げられていないが、米国のゼネラル・エレクトリック社と共同で大型商用ジェット旅客機用の新型エンジン「LEAP」を開発してきたサフラン社であることはほぼ間違いない。
Sakulaマルウェアは、サフランの中国子会社の従業員によって直接システムにインストールされました。Sakulaは、昨年米国人事管理局(OPM)へのハッキングに使用されたマルウェアと同じもので、これも中国のスパイによって実行されたとみられています。
最終的に、ハッキングチームは5年をかけて、アリゾナ州、マサチューセッツ州、オレゴン州に拠点を置き、ターボファンジェットエンジンの部品を製造している他の航空宇宙企業のシステムにアクセスし、機密の設計図を入手することに成功しました。中国は現在、ジェットエンジンを米国と欧州から購入しており、長年にわたり国産ジェットエンジンの製造に取り組んできました。
米国当局がハッキング行為にいつ気づいたかは不明だが、その後、中国スパイからのテキストメッセージを入手し、陰謀を裏付けることができた。おそらくNSAの大規模監視プログラムを通じてだったと思われる。
これらのテキストメッセージは起訴状の一部です。特に注目すべきは2014年、中国人スパイの一人がハッキングチームに対し、最近スピアフィッシングメールを送信したかどうかを尋ねたというものです。サフラン社内のスパイから、経営陣が従業員に対し偽メールに注意するよう警告したと聞かされたためです。
偽メール
「先ほどシャオ・グーと会いました。グーは、サフランが会社幹部からの偽メールについて警告していたと言っていました。そのメールはあなたたちが書いたのですか?」ハッキングチームの一人が返答した。「ネットワーク管理者を装った偽メールを送りました。」
米国政府は、張章貴、劉春良、高宏坤、荘小薇、馬志奇の各ハッカーを犯人と名指しした。また、サフランの中国事務所で働き、ハッカーを支援していた中国人2名を、田希と顧根と名指した。
「国家が支援するハッキングは、我が国の国家安全保障に対する直接的な脅威です」と、アダム・ブレイバーマン連邦検事は述べた。「市販されている製品を単に購入するのではなく、盗もうとする組織的な取り組みは、製品開発に人材、エネルギー、そして株主の資金を投資するすべての企業にとって、憤慨すべき行為です。」
今月初め、司法省はJSSD諜報員が関連容疑でオハイオ州に送還されたと発表し、9月にはイリノイ州で米陸軍新兵がJSSD諜報員のエージェントとして働いていた容疑で起訴された。
一方、中国は、起訴状とその中にあるスパイ容疑は「全くの虚構であり、完全に捏造されたものだ」と主張している。®
