Photo The Daily Swig

Behind the Great Firewall: Chinese cyber-espionage adapts to post-Covid world with stealthier attacks

北京はサプライチェーン戦術を採用し、スパイグループ間のリソース共有を拡大していると専門家は警告する

2021/4/16 Port Swigger / The Daily Swig

分析

中国の老舗サイバー脅威グループは、コロナウイルスの大流行を受けて、一般に公開されているツールとカスタマイズされたツールの両方からなる膨大なリソースを蓄積し、そのレパートリーを多様化している。

The Daily Swigが取材した脅威情報の専門家によると、中国の国家支援を受けた攻撃者たちは、新しいハッキング技術を開発する最前線にいると言う。

例えば、サプライチェーンへの攻撃は、中国に関連したAPT（Advanced Persistent Threat、高度な持続的脅威）グループがさまざまなターゲットに対して行う妥協の手法であり、昨年ロシアの脅威アクターが行ったとされる有名なSolarWinds社の攻撃よりも前から行われていた。

今週、米国議会に提出された米国の情報機関による最新の年次脅威評価（PDF）では、「中国は、多量かつ効果的なサイバー・スパイ活動の脅威であり、実質的なサイバー攻撃能力を有し、影響力の脅威を増大させている」と報告し、情報機関は「中国のサイバー・スパイ活動には、電気通信企業、マネージドサービスや広く利用されているソフトウェアのプロバイダーなど、情報収集、攻撃、影響力を行使するための機会が豊富にあると思われるターゲットへの危害が含まれている」と警告している。

どのような組織が標的になっているのか?

中国政府の支援を受けた脅威グループは、世界で最も豊富な資源を有していると言われている。

Secureworksの上級情報セキュリティ研究者であるMarc Burnard氏によると、この国のサイバースパイ活動は、これまで 「洗練されたものよりも洗練されたものを好む」 という評判があったが、近年は変わってきているという。

IntSightsの脅威インテリジェンスアドバイザリーの責任者であるPaul Prudhomme氏は、中国が西側の企業や政府にとってサイバー攻撃のトップになったことに同意した。

「中国のサイバースパイ集団は世界で最も洗練された集団の1つだが、ロシアのサイバースパイ集団ほど洗練されていない。」とPrudhomme氏はThe Daily Swigに語った。

「中国のサイバースパイ攻撃の高度な機能には、ゼロデイ脆弱性の悪用、サプライチェーンとサードパーティの攻撃の実行、およびプロプライエタリまたはカスタムのマルウェアとその他のツールの使用が含まれています」

中国のサイバー攻撃は、その運用上のセキュリティに弱点があることが多く、セキュリティ研究者はそれを中国のアクターの仕業とみなしてきました」と、Prudhommeは付け加えた。

SentinelOne社のチーフセキュリティアドバイザーで、元米国務省特別顧問のMorgan Wright氏は、中国はロシアよりもはるかに慎重にサイバー攻撃を実行しているとThe Daily Swigに語った。

「ロシアはここ数年、秘密主義からあからさま主義へと移行しています」とWright氏は説明する。

「一方、中国では、進捗状況の評価に時間をかけ、フォローアップのタスクを特定し、さらには攻撃対象のマシンの種類に応じて特定のモジュールを開発します」

中国は、技術的な対策だけでなく、ソーシャルネットワークやその他のOSINTチャネルを利用して、初期段階の偵察を行っている。

「中国の諜報機関は、LinkedInやカンファレンスを日常的に利用して人間関係を構築し、後に標的となる企業の内部に最初の足場を築くためのスピアフィッシング攻撃に悪用しています」とWright氏は述べた。

中国はなぜサイバー・スパイ活動を行うのか？

中国に関連する脅威アクターは、一般的に、「Belt and Road Initiative」や「Made in China 2025」プログラムなどのより広範な経済的目標を支援するための情報収集を目的として、サイバースパイ活動を行う。その一環として、外国政府へのスパイ活動をしている。

The Daily Swigが取材した脅威情報の専門家によると、彼らはまた、さまざまな業界における中国企業の海外のビジネスライバルに関する競争力のある情報を求めているという。

その他の地政学的な動きも、中国関連のサイバースパイ活動に影響を与える。

例えば、米国との貿易戦争、ASEAN諸国との南シナ海での紛争、そして最近ではコロナウイルスのパンデミックなどが挙げられる。

最初の侵入には、現在、スピアフィッシングがこれらのグループの間で好まれている手法である。

中国の脅威アクターは、さまざまな戦術、技術、手順（TTP）を駆使しているが、最も一般的なキャンペーンとしては、スピアフィッシング、ウォータリングホール攻撃や戦略的なウェブ侵害活動の実施、マネージドサービスプロバイダーや通信ネットワークなどの共有サービスの侵害、サプライチェーンの侵害などが挙げられている。

中国の攻撃は、以前のような大量で焦点の定まらないパターンではなく、ここ数年でより焦点を絞ったものになっている。

Mandiant Intelligence社のサイバー・スパイ担当シニア・アナリストであるFrederick Plan氏は、「10年前、中国のスパイ活動家は、ターゲットをそれほど特定せず、主要なニュースサイトや業界で注目されている組織のウェブサイトを侵害して、そのページを訪れるすべての人にマルウェアを配布しようとしていました」と語る。

「しかし、最近では、中国のグループは、一般的に、より微妙なニュアンスでターゲットを選ぶようになっており、ホワイトリストに登録したり、ターゲットとなる組織内の特定の個人を対象としたスピアフィッシングに頼るようになっています」と述べている。

中国のAPTでは、ソフトウェアのセキュリティ上の脆弱性を利用することも盛んに行われている。

Talion社の脅威インテリジェンスアナリストであるNatalie Page氏は次のように述べている。

「2020年10月、国家安全保障局は、パッチが一般に公開された後に、中国の国策ハッカーが利用している25の公知の深刻度の高い脆弱性を詳細に記したレポートを発表しました」

「最初の侵入には、標的を絞ったスピアフィッシングが、これらのグループの間で現在好まれている戦術のようです」とPage氏は付け加えている。

どのような攻撃が中国のスパイグループに関連しているのか？

中国のAPTグループは、これまでに目撃された最も悪名高いサイバー犯罪キャンペーンのいくつかで非難されている。

Axiom（APT72）、Deep Panda（APT19）、Elderwood（APT17）、Ke3chang（APT15）、Mustang Panda、menuPass（APT10）、PalmerWorm、Winnti（APT41）など、北京との関係が疑われている著名な脅威グループがある。

これらのグループの最大の動機は、中国政府とスパイ活動に大きく関係していますが、一部は金融犯罪にも関係している。

中国のAPTグループはどのように組織されているのか？

歴史的には、中国のサイバー・スパイ活動の先頭に立っていたのは人民解放軍（PLA）だったが、近年では軍隊よりも国家安全部（MSS）の方が重要になってきている。

元NSAの中国スパイ専門家からRecorded Future社の脅威研究者に転身したCharity Wright氏は、The Daily Swigに対し、「2015年以降は、MSSがサイバー・スパイ活動のゲームを支配していると言えるでしょう」「PLAは2015年に戦争に集中するために改革し、2016年、MSSはより明確な目的を持った2つの機関に分かれました」と述べている。

中国のグループ間で知識の共有が進んでいることを指摘する証拠が増えている。

Mandiant IntelligenceのPlan氏はこう説明している。

「彼らのTTPの変化には、公開されているツール（CobaltStrike BEACONなど）への依存度の増加や、複数のグループ間で共有されているマルウェアの使用頻度の増加などがあります」

「グループ間での共有が増えていることは、異なるアクター間での作戦の標準化のようなものを示していると考えています」

脅威情報企業のTalion社もこの評価に同意しており、Poison Ivy、Cobalt Strike、PlugXなどのカスタムメイドのマルウェアが中国のグループ間で共有されていることが多いと付け加えている。

Secureworks社のBurnard氏は、「Microsoft社がパッチをリリースする前に、最近のExchange Serverの脆弱性を同時に悪用している中国の脅威グループの数は、このような知識の共有が進んでいることの証拠であると思われる」と述べている。

Burnard氏は更に「中国の脅威グループが使用するマルウェアやTTPには、クロスオーバーの増加が見られます。これは、中国の軍事・セキュリティ組織の組織再編、脅威グループ間での知識共有の増加、中国に帰属するリスクを最小限に抑えようとする試みを反映していると考えられます」と付け加えた。

Covid-19のパンデミックは、中国の脅威をどのように変えたのか？

産業スパイは、依然として中国の脅威グループがもたらす最大の脅威の一つである。

中国のサイバー攻撃は、あらゆる産業や業種を対象としているが、特に注目されているのは、政府や防衛、技術や通信などの分野だ。

産業スパイ活動を行う中国の脅威グループは、さまざまな業界の外国の競合企業の知的財産を標的にして、その製品の低コストの模倣品を製造することがよくある。

そしてCovid-19ワクチンの知的財産の取得は、現在進行中のCovid-19パンデミックを受けて、中国を含む世界中のサイバースパイ集団の最優先課題となっている。

IntSights社のPrudhomme氏は「中国のサイバー・スパイグループは、以前から海外の医療・製薬企業の知的財産を狙っていました。パンデミックによって、この業界の優先順位が上がり、攻撃の対象がCovid-19ワクチンの研究に絞られただけです」とコメントしている。

原文は以下（英文）

https://portswigger.net/daily-swig/behind-the-great-firewall-chinese-cyber-espionage-adapts-to-post-covid-world-with-stealthier-attacks