セキュリティ企業のSophosが5年以上に及ぶ中国のハッカーとの戦いを記したレポート「パシフィック・リム」を公開

2024年11月1日 20時0分

中国やロシア、北朝鮮などの国々のハッカーが世界各地を標的としたサイバー攻撃を行っているとのニュースが連日報道されており、IT企業やセキュリティベンダーはその戦いの最前線に立っています。2024年10月31日に、セキュリティ企業のSophosが、中国を拠点とする複数の脅威アクターに対応してきた2018年から2023年までの活動の記録を公開しました。

Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns - Sophos News

https://news.sophos.com/en-us/2024/10/31/pacific-rim-timeline/

Pacific Rim: Inside the Counter-Offensive-The TTPs Used to Neutralize China-Based Threats - Sophos News

https://news.sophos.com/en-us/2024/10/31/pacific-rim-neutralizing-china-based-threat/

Sophosは「パシフィック・リム」と題した今回のレポートの概要として、「当社は5年以上にわたり、ボットネットや新しいエクスプロイト、特注のマルウェアを駆使してSophosのファイアウォールを攻撃してきた中国の複数のグループを調査してきました」と述べました。

政府や法執行機関、ほかのセキュリティベンダーと協力して実施した調査結果から、Sophosはまざまなレベルの信頼度で、これらのサイバー攻撃をボルト・タイフーンやAPT31、APT41(Winnti)に帰属させることができたとのこと。特に、中国の四川省がエクスプロイトの調査および開発の拠点になっていることについては強い確信があるとしています。

◆最初の攻撃：2018年

こうした一連の攻撃の発端は、ネットワークデバイスではなくSophosのインド子会社であるCyberoamの本社ビルへの攻撃でした。

2018年12月4日、Sophosのセキュリティチームのアナリストは、ネットワークスキャンを実行しているデバイスを検知しました。そして、その出どころを探した結果、Cyberoamのオフィスの壁掛けディスプレイに映像を出すための低権限のPCに、リモートアクセス型トロイの木馬(RAT)が仕込まれていたことが発覚しました。

Cloud Snooperと名付けられたこの攻撃者は、当初比較的単純な手口を使っているように見えましたが、調査が進む中でかつてないほど大規模かつ複雑な攻撃手法を展開していることがわかってきたとのこと。

また、当時はCloud Snooperの所属も不明でしたが、Sophosは「今では、これがネットワークデバイスを標的とするマルウェア開発に向けて情報を収集する、中国の最初の取り組みであったと確信を持って評価しています」と述べました。

◆大規模化：2020年

中国のハッカーは、2020年初頭から2022年にかけて複数のキャンペーンを展開し、目立った攻撃を本格的に行い始めました。中でも主要な攻撃である2020年4月の「Asnarök(CVE-2020-12271)」という攻撃は、オランダ政府のハイテク犯罪ユニットである国立サイバーセキュリティセンター(NCSC)との連携によりAsnarökマルウェアのC2サーバーの押収が行われるという、大がかりな捜査に発展したとのこと。

また、Asnarökと後に「Personal Panda」と名付けられた別の攻撃では、脆弱(ぜいじゃく)性を研究して公開するバグバウンティの報告者と、ハッカー組織との間に関連性があることがわかりました。

両者がいずれも四川省の省都・成都を拠点としていることから、Sophosは「成都の教育機関を中心とした研究コミュニティが存在し、脆弱性の研究結果をセキュリティベンダーと中国政府からサイバー攻撃を請け負う組織の両方と共有しているのではないか」と中程度の確信度で推測しています。

by May Wong

◆ステルスへの移行：2022年～

中国の攻撃者は、2022半ばに戦術を変更し、標的を政府機関やインフラ、研究機関、公共機関、軍事関連企業などの特定の組織に設定して、狙いを絞った攻撃を行うようになりました。

多様な戦略・技術・手順(TTP)を活用しながら行われたこれらの攻撃は、自動化された攻撃ではなく、攻撃者が手ずからコマンドを実行し、侵害されたデバイス上で攻撃を行う「アクティブアドバーサリー」スタイルを特徴としたものだったとのこと。

また、中国の攻撃者らはメモリ上でしか動作しないマルウェア、高度な持続技術、侵害されたネットワークデバイスを大規模なプロキシネットワーク化で秘匿する手口など、さまざまな形で検出を回避するステルス技術を身につけていきました。

こうした攻撃の多くでSophosは守勢に回りましたが、新型コロナウイルス感染症に関する情報操作に関与していた四川省の企業・Sichuan Silence Information Technologyの調査では隙を突いて反撃し、攻撃者のデバイスを逆ハッキングして攻撃者がテキストエディターでコードを書く様子を監視することもあったとのことです。

Sophosは、中国のハッカーに対するこれまでの取り組みを総括して「脅威アクターは5年以上にわたって執念深い攻撃を実行してきました。こうした攻撃者は、豊富なリソースを持ち、忍耐強く、かつ創造的で、ファームウェアの内部アーキテクチャについて並外れた知識を持っているようです。Sophosの設立から40年以上たっていますが、当社の調査ではこれまでにほとんど見られなかったレベルの悪意ある活動が次々と明かされています」と述べました。