Last updated on 2024年2月22日
中国四川省成都市で最近行われた裁判が、米国当局が中国の攻撃的ハッキングと関連付けていると主張する企業が関与しているため、Natto Teamの注目を集めました。この裁判は知的財産紛争であり、中国国家ハッキング作戦として知られるAPT41の背後にいるとされる成都404(Chengdu 404)が、四川i-SOON(Sichuan i-SOON)として知られる企業を訴えました。このケースは、ソフトウェア開発契約の紛争に焦点を当てています。現時点で、このケースに関する公に利用可能な情報はありませんが、2023年10月17日に裁判にかけられる予定でした。このケースの存在は、成都404と四川i-SOONがビジネス関係にあったことを示唆しています。
2020年8月、米国の裁判所はAPT41と関連するとされる3人のハッカー、Qian Chuan(钱川)、Jiang Lizhi(蒋立志)、Fu Qiang(付强)を起訴しました。起訴状によると、成都404内でQian Chuanは社長、Jiang Lizhiは技術部門の副社長、Fu Qiangはビッグデータ開発のマネージャーを務めていました。これら3人のハッカーは、中国のハッカーコミュニティで強いオンラインプレゼンスを持っていたとされています。
表面上、APT41のハッカーとその関連企業である成都404を2020年に米国が露見させたことで、同社の活動が阻害されたように見えますが、Natto Teamの中国政府のソースによる調査は、成都404がビジネス活動を続けていることを示しています。同社はその後、17件の独自ソフトウェアを登録しました。成都404は、2021年6月に成都市経済情報技術委員会の子会社である成都中小企業(SME)サービスセンターからの資金援助を求めました。
四川i-SOONと成都404の裁判の興味深い点は、四川i-SOONが成都に拠点を置き、ネットワーク技術サービスやソフトウェア開発など、類似のビジネスを行っている企業であることです。成都404は2014年5月に設立され、四川i-SOONはその10ヶ月後の2015年3月に設立されました。現在、成都404には101人の従業員がおり、四川i-SOONには72人がいます。
特に注目すべきは、i-SOONのハッキングとの関連です。成都404を運営する3人の起訴されたハッカーと同様に、i-SOONのCEOであるWu Haibo(吴海波)、別名shutdownは、中国の初代レッドハッカーまたはHonker(红客)であり、1997年に設立された最初の中国のハクティビストグループであるGreen Army(緑色兵团)の初期メンバーでした。
i-SOONは、公安、詐欺防止、ブロックチェーンフォレンジック、企業セキュリティソリューションおよびトレーニングを広告しています。2013年、i-SOONはAPTネットワーク侵入方法に関する研究部門を設立しました。i-SOONがリストしたビジネスパートナーには、公安部を含むすべてのレベルの公安機関、10の省公安部門、40以上の市レベルの公安局が含まれています。
i-SOONは、国家安全保障のために働くための関連資格を持っています。i-SOONは国家安全省の指定サプライヤーであり、2019年には公安部サイバーセキュリティおよび防衛局の最初の認定サプライヤーバッチの一つとして登場しました。その後、2020年には、工業情報化部(MIIT)から「武器装備科研生産单位二级保密资格(武器および装備の研究および生産会社のためのクラスII秘密資格)」を受け取りました。これは、i-SOONが国家安全保障に関連する機密の研究開発を行うことを可能にする最高の秘密分類です。これらの認証を取得した後、2021年7月には、i-SOONは新疆ウイグル自治区アクス地区の公安局のサイバーセキュリティ保護プロジェクトの入札者リストに掲載されました。また、四川省政府は四川i-SOONを「情報セキュリティ企業トップ30」の一つとして指定しました。
Sichuan i-SOONは製品研究開発の中心として、多数の特許と独自のソフトウェアを保有しています。2023年10月時点で、Sichuan i-SOONは11件の特許と59件の独自ソフトウェアツールを登録しました。これらの特許の説明から、いくつかは監視アプリケーションを持っていることがわかります。例えば、「犯罪捜査を支援するためのインテリジェントプラットフォーム」と題された特許は、疑わしい犯罪の前に対象組織または個人のコンピューターシステムを侵害し、監視するためのシステムを説明しています。これは、この監視のための対象範囲を指定する特定の選択ルールを使用します。リストされた独自ソフトウェアは、「機密情報収集システム」から「特別な調査戦争プラットフォーム」、「仮想通貨追跡システム」に至るまで多岐にわたります。
i-SOONの政府関連のサービス資格、公安機関とのパートナーシップ、研究開発能力と成果は、中国国家のサイバーセキュリティニーズに対して確かな貢献をしています。i-SOONは、そのパートナーおよびクライアントからの感謝状を15件展示しています。そのほとんどは、省および市レベルの公安局からのものです。
ソフトウェア開発契約紛争のケースでは、成都404が原告でした。これは、成都404が四川i-SOONにソフトウェア開発契約を委託し、何らかの理由で契約が成都404の期待通りに進まなかったことを意味する可能性があります。前述のように、成都404自体が過去3年間に17件の著作権ソフトウェアツールを登録しているため、明らかに独自のソフトウェア開発能力を持っています。同社がi-SOONに支払った場合、それはi-SOONが専門知識を持っていたいくつかのツールのためかもしれません。i-SOONが得意とする分野は何でしょうか?i-SOONの特許リストと独自ソフトウェア、国家安全保障のための「機器」を提供する資格、および公安局との仕事の性質から判断すると、i-SOONは監視目的およびその他の国家安全保障ニーズのためのサービスとツールを提供した可能性が高いです。
APT41の活動には、モバイルデバイスの侵害に焦点を当てることが含まれています。2023年7月、米国のクラウドセキュリティ会社であるLookoutの研究者は、2つの高度なAndroid監視ウェア、WyrmSpyとDragonEggについて報告しました。これらのマルウェアのソースコードにハードコーディングされたコマンドアンドコントロール(C2)インフラストラクチャのURLは、成都404のウェブサイトumisen[.]comのサブドメインでした。LookoutはWyrmSpyのサンプルを2017年に初めて収集し、DragonEggを2021年初頭に検出しました。Lookoutのレポートは、APT41が2017年以来モバイルデバイスをターゲットにしていることを示唆しており、「モバイルエンドポイントは、欲しいデータを持つ高価値のターゲットである」との見解を示しています。このモバイル電話監視への焦点は、i-SOONの専門分野と一致しています。上述のように、i-SOONは多数の監視関連の特許を持ち、中国の新疆地域に関連するモバイル監視プロジェクトの契約をほぼ獲得していました。これは、中国政府がその多数派ムスリム地域の住民の携帯電話にマルウェアを感染させて集中的な監視を行っていることが報告されています。i-SOONが新疆地域で公安当局のプロジェクトを実施したことを示唆する感謝状をi-SOONが受け取ったことから、i-SOONがモバイルマルウェアに関与している可能性があります。
i-SOONが中国国家のために独自のAPT活動を行う可能性はありますか?同社の資格と能力から、それは可能です。APT41は相互にリンクされたネットワークとして機能し、マルウェア、専門知識、接続を共有しています。成都が中国のハッキング活動の中心地となっていることを考慮すると、その都市では他の地域よりもリンクされたハッキングネットワークがさらに強力である可能性があります。では、成都で他にどのようなハッキング活動が行われているのでしょうか?
2022年1月、Trend Microは、成都近郊を発祥地とする中国発の脅威アクター、Earth Luscaを特定しました。Earth Luscaは、Recorded FutureがRedHotelと名付けた中国のAPTグループと重複しています。Recorded Futureは、2020年にこのグループについて初めて報告した際に、暫定的にTAG-22という名前を使用しました。他の研究者がこのグループに使用した名前には、Charcoal Typhoon、CHROMIUM、Red Scylla、Aquatic Panda、ControIXが含まれます。2023年8月のプロファイルで、Recorded FutureはRedHotelが「グローバルな規模で活動している」と報告し、このグループのインフラに基づいて、成都に拠点を置いていると評価しました。Recorded Futureは、「RedHotelのターゲット範囲、ツール、および運用方法は、中国の国家安全省(MSS)に関連する他の民間請負業者グループ、例えばRedGolf(別名APT41、Brass Typhoon)などの成都拠点の脅威活動グループの運用と密接に似ている」と述べました。RedHotelは、中国のAPTグループがプライベートに共有するShadowPadおよびWinntiのカスタムマルウェアファミリーを使用しました。Trend Microはまた、Earth LuscaがAPT41やWinnti Groupクラスターを含む他の中国の脅威グループが一般的に使用するマルウェアを使用していることを発見しましたが、Earth Luscaの技術とインフラストラクチャは別個であることを発見しました。
Earth Luscaのターゲットには、以下が含まれます:
- 中国本土のギャンブル会社
- 台湾、タイ、フィリピン、ベトナム、アラブ首長国連邦、モンゴル、ナイジェリアの政府機関
- 台湾、香港、日本、フランスの教育機関
- 台湾、香港、オーストラリア、ドイツ、フランスのニュースメディア
- 香港の民主主義と人権の政治組織および運動
- アメリカ合衆国のCovid-19研究機関
- ネパールの通信会社
- 中国本土で禁止されている宗教運動
- 様々な暗号通貨取引プラットフォーム
Recorded Futureは、アフガニスタン、バングラデシュ、カンボジア、チェコ、インド、ラオス、マレーシア、パレスチナを含むさらに多くの国々でRedHotelの被害者組織を特定しました。対象組織は、学術、航空宇宙、政府、メディア、通信、研究開発部門にまたがっています。
2019年に香港の大学をターゲットにしたEarth Luscaの運用は、スロバキアのサイバーセキュリティ会社ESETが2020年にWinnti Groupと呼んだグループに帰属された同じ運用であると見なされます。これは、インフラストラクチャ、能力、およびターゲティングの重複から判断されます。Recorded Futureも同様の重複を特定しました。
RedHotel/Earth Luscaなどの特定の侵入セットの背後にいる実際の人物を特定するには、データと証拠が必要です。APT41が相互にリンクされたネットワークとして機能し、Winntiなどのマルウェアファミリー、専門知識、接続を共有していることが、侵入分析を複雑にしています。成都404とi-SOONを含む接続のネットワークから帰属を探ることが役立つかもしれません。
Natto Teamが収集した情報に基づき、四川i-SOONと成都を拠点とするAPTグループ(例えばRedHotel/Earth Lusca)との間に以下の重複があることを特定しました:
- 四川i-SOONは、APT41アクターが運営する成都404とビジネス関係を持っています。
- 四川i-SOONは、成都404と同様のビジネスモデルで運営され、州および地方のセキュリティ機関と協力し、トレーニングおよび奨学金プログラムおよびハッキングコンペティションを通じて大学との接続を確立しています。
- 四川i-SOONのCEOであるWu Haiboは、中国のハッカーコミュニティと深いつながりを持つ、よく知られた初代中国のレッドハッカーでした。
- 四川i-SOONは四川省成都市にあります。Redhotel(別名Earth Lusca)も成都を拠点として運営されていました。
- 四川i-SOONは、さまざまなレベルの公安局と提携しています。中国の公安局は、台湾および香港を含む国内のセキュリティ問題を監督しています。Redhotelが台湾および香港の教育機関およびニュースメディア、および中国本土で禁止されている宗教運動をターゲットにしたことは、中国の公安局の業務範囲に似ています。上述のように、i-SOONは新疆地域の公安局のネットワークセキュリティチームから感謝状を受け取り、その地域のプロジェクトの入札者リストに掲載されました。
Natto Teamは、これらの接続が四川i-SOONを中国政府のために働くAPTグループとして特定するのに十分ではないかもしれないと理解しています。しかし、コミュニティがさらに探求するために、私たちの考えを共有することに何の害もないと考えています。
引用元:https://nattothoughts.substack.com/p/i-soon-another-company-in-the-apt41
流出したツールのリンク:https://github.com/I-S00N/I-S00N