出典: Pawel Opaska via Alamy Stock Photo
中国が支援する脅威グループは、昨年ラテンアメリカで最も活発な国家支援ハッカーであり、地域全体の政府機関や民間セクターの組織を標的にしました。
彼らの動機は、北京のアジェンダに沿った政治的な物語を形成するためのスパイ活動や、技術的野心を進めるための情報収集に至るまで多岐にわたります。これは、ラテンアメリカにおける脅威活動の新しいCrowdStrikeの分析によるものです。
北京がその足跡を広げた
CrowdStrikeは観察しました、2024年に中国関連のアクターによる国家支援活動が世界的に明確にエスカレートし、ラテンアメリカも例外ではなかったと、CrowdStrikeの対敵作戦責任者であるアダム・マイヤーズは述べています。2024年には、この地域での中国関連の活動が150%増加したと彼は言い、Vixen Panda、Aquatic Panda、およびLiminal Pandaがラテンアメリカの政府機関、通信事業者、軍事機関を標的にしていると述べています。
各グループは地域内の異なるターゲットに集中しました。Vixen Pandaは政府および非政府組織を十数カ国以上のラテンアメリカ諸国で狙い、Liminal Pandaは主に通信事業者に焦点を当て、Aquatic Pandaは政府および通信事業者の混合を狙いました。
これらのキャンペーンの多くは、マイヤーズによれば、北京のより広範な地政学的および経済的目標に寄与しました。「中国関連の敵対者は、ラテンアメリカにおける中国および中国技術への依存を育むための地政学的野心に沿って、地域でのターゲットを増やし続けています」と彼は指摘します。
関連記事:M&Aの隠れたサイバーセキュリティリスク
中国が支援する脅威活動の急増は、いくつかのラテンアメリカ政府が低コストの中国技術を国家インフラに組み込むことをますます進めている時期に起こっています。しばしば潜在的なセキュリティリスクよりも経済性を優先しています。CrowdStrikeの報告書の一例は、ブラジルであり、その大統領は同国の5Gモバイルおよびサイバーセキュリティインフラの開発における中国の役割の拡大に関するセキュリティ懸念を無視しました。「2025年1月の時点で、アルゼンチン、ボリビア、ブラジル、チリ、コロンビア、エクアドル、ペルー、スリナム、ウルグアイは、5GネットワークでHuaweiの機器を使用または使用予定でした」とCrowdStrikeは述べています。
北朝鮮の国家支援脅威アクターも2024年にラテンアメリカで活動を強化しましたが、異なる計画を持っていましたとマイヤーズは言います。中国のカウンターパートとは異なり、Famous Chollima、Silent Chollima、およびStardust Chollimaのようなグループは主に金銭目的で活動していました。
「CrowdStrikeは、Famous Chollimaがアルゼンチン、ブラジル、ウルグアイの組織をターゲットにし、不正にフリーランスまたはフルタイムの役割を確保して資金を体制に戻すことを見てきました」と彼は言います。一方、Stardust Chollimaは暗号通貨の事業体をターゲットにしました。「これらのキャンペーンは、北朝鮮の制裁された経済を支えるための財政的圧力によって駆動される機会主義的なものです」とマイヤーズは言います。
関連記事:アジアはより多くのAPTアクターを生み出し、焦点を世界に拡大
金銭目的の脅威グループが繁栄
昨年、国家支援アクターがラテンアメリカ諸国の組織に対するリスクを増大させた一方で、金銭目的の犯罪グループは地域のサイバー脅威の風景を支配し続けました。CrowdStrikeの報告書は、Ocular Spider、Blind Spider、Odyssey Spider、Plump Spider、Samba Spider、Squab Spiderの6つの主要なオペレーターを特定しました。これらのグループのそれぞれは、ラテンアメリカの国に拠点を置くか、主に地域のターゲットに焦点を当てていました。一方、ナイジェリアのAviator Spider、ロシアのRenaissance Spider、Solar Spiderなどの他の金銭目的の脅威グループは、伝統的に他の地域で活動していましたが、昨年からラテンアメリカに注意を向け始めましたとマイヤーズは述べています。
「ラテンアメリカの脅威の風景は急速に成熟しています」とマイヤーズは指摘します。ランサムウェア攻撃は地域全体で15%増加し、ブラジル、メキシコ、アルゼンチンの組織がその影響を最も受けました。アイデンティティベースの侵入も加速し、初期アクセスブローカーに関連する活動も同様に増加しました。これらはネットワークやシステムを侵害し、そのアクセスを他の犯罪者に販売します。「CrowdStrikeはアクセスブローカー活動の38%の増加を追跡し、107のブローカーが428の組織へのアクセスを提供していました」とマイヤーズは指摘します。「CrowdStrikeは、主にスティーラーログやデータ漏洩から得られたラテンアメリカの組織に関連する10億以上の資格情報を回収しました。これは高度にターゲット化された資格情報ベースの攻撃の燃料となります。」
関連記事:Tenableがエクスポージャーマネジメントプラットフォームにサードパーティコネクタを追加
ラテンアメリカで脅威活動が増加している要因はいくつかあるようです。マイヤーズは、ラテンアメリカの多様な政治的および規制の風景、断片化されたインフラ、サイバーセキュリティの成熟度の不均一性が、国家支援アクターや犯罪グループにとって理想的な条件を作り出していると説明します。電子犯罪「アクターは急速に規模を拡大しており、国家支援グループは長期的な地政学的目標に合わせて侵入を行っています」とマイヤーズは指摘します。組織化された地下経済も地域でのサイバー脅威活動の増加を可能にしています。「Acceso XやCryptersAndToolsのようなスペイン語のTelegramチャンネルは、資格情報を捨てるだけでなく、マルウェアを配布し、ツールを販売し、技術を共有しています。それは機会主義的ではありません。それは体系的です。」
米国および世界中の組織にとって、異なる地域やセクターで進化する脅威の風景に注意を払うことが重要です。先を行くためには、マイヤーズは、グローバルなサイバー敵対者の能力と意図の両方を深く理解することが必要だと言います。「サイバー脅威は国境を尊重しません」と彼は警告します。「米国およびより広範な世界の組織は、さまざまな地理的地域およびビジネスの垂直市場をターゲットにするサイバー脅威のモザイクを理解する必要があります。」
翻訳元: https://www.darkreading.com/cyber-risk/pandas-galore-chinese-hackers-attacks-latin-america