概要:広範囲にわたるサイバースパイ活動
過去1年間で、あるアジア政府の支援を受けたハッカー集団が、37カ国の少なくとも70の政府機関および重要インフラ組織にサイバー攻撃を仕掛け、侵入していたことが、Palo Alto Networksの報告書によって明らかになりました。このスパイ活動は、レアアース鉱物、貿易協定、経済的パートナーシップに関する情報収集を目的としていると見られています。
Palo Alto NetworksのUnit 42の研究者たちは、「この集団はスパイ活動の目的を追求している可能性があるが、その手法、標的、そして活動規模は、国家安全保障と主要サービスに長期的な影響をもたらす可能性があり、警鐘を鳴らすものである」と述べています。
攻撃の規模と標的
この脅威アクター(Palo Alto NetworksがTGR-STA-1030として追跡)は、37カ国で法執行機関、財務省、貿易部門を含む標的に侵入しただけでなく、さらに広範な活動を展開していました。報告書によると、11月から12月にかけて、155カ国の政府ネットワークに対して偵察活動を行っていたことが判明しています。
Palo Alto Networksは、この活動を特定の国に直接帰属させていませんが、その活動内容は中国政府の目的と密接に一致していると指摘しています。
主な被害事例と背景
- ブラジルのエネルギー省: レアアース鉱物の供給で世界第2位とされるブラジルで、エネルギー省が標的となりました。
- ギリシャのSyzefxisプロジェクト: 高速インターネット接続を通じて公共サービスを改善する目的のプロジェクトが狙われました。
- モンゴルの警察機関: モンゴルの法務大臣がアジア某国のカウンターパートと会談する直前に、侵入被害に遭いました。
- 複数の国家レベルの通信会社: 世界各地の通信インフラが標的となりました。
- 台湾の主要電力設備産業サプライヤー: 台湾の重要産業が狙われました。
- インドネシアの航空会社: 同社が米国メーカーから航空機購入を交渉している最中に侵入され、同時にアジアのメーカーからの航空機が積極的に推進されていました。
- チェコ共和国の軍、国家警察、議会: チェコ大統領がダライ・ラマと会談した数週間後に、ネットワークスキャンが開始されました。
- ホンジュラスの政府IPアドレス200件以上: 大統領選挙の1ヶ月前に集中的な標的となり、両候補が台湾との外交関係回復に意欲を示していました。
巧妙な攻撃手法と使用ツール
ハッカー集団が使用したツールには、「DiaoYu」(中国語で「釣り」の意)と名付けられたフィッシングメールによるマルウェアローダーが含まれており、これは複数のアンチウイルス製品をスキャンした後にCobalt Strikeペイロードを展開します。また、Microsoft Exchange Server、SAP Solution Managerなど、12以上の製品やサービスの脆弱性を悪用しようと試みていました。
特に注目すべきは、Palo Alto Networksが「ShadowGuard」と呼ぶ独自のルートキットの使用です。これはLinuxカーネルのExtended Berkeley Packet Filter (eBPF) 仮想マシン内で密かに動作します。「eBPFバックドアは、高度に信頼されたカーネル空間内で完全に動作するため、検出が非常に困難です」と研究者は指摘しています。これにより、セキュリティツールやシステム監視アプリケーションが真のデータを認識する前に、コアシステム機能や監査ログを操作することが可能になります。
活動の起源と期間
一部の活動では、ハッカーがChina Mobile Communications GroupのIPアドレスから被害者ネットワークに接続していることが確認されており、これが活動の起源に関する手がかりとなっています。
Palo Alto Networksの分析によると、このハッカー集団は2024年1月から活動を開始しており、「政府および世界中の重要インフラにとって依然として活発な脅威である」と警告しています。