米国は、中国国家支援のハッカーとされる容疑者を逮捕したと発表しました。この人物は、米国の大学からのCOVID-19研究の窃盗を含む、注目度の高い攻撃に関与した疑いが持たれています。
この人物は、2020年および2021年にMicrosoft Exchangeサーバーを標的とした悪名高いHafniumキャンペーンにも関与しているとされています。
これらの攻撃は、中華人民共和国(PRC)の情報機関の指示によるものだと、米国司法省(DoJ)は述べています。
中国籍の徐沢偉(Xu Zewei、33歳)は、米国政府の要請により、7月3日にイタリア・ミラノで逮捕されました。
徐と共犯者の張宇(Zhang Yu)は、2020年2月から2021年6月までのコンピューター侵入に関する9件の起訴内容で起訴されています。
すべての罪状で有罪となった場合、徐には長期の懲役刑が科される可能性があります。張は現在も逃亡中です。
徐は攻撃を行っていた際、上海パワーロックネットワーク有限公司(Shanghai Powerock Network Co. Ltd.)に勤務していました。
米国は、PRC政府がパワーロックを含む中国国内の多くの民間企業や請負業者のネットワークを利用し、国家の関与を隠しながら組織への侵入やデータ窃取を行っていると考えています。
「安全な拠点から利益を動機として活動する中国国内の民間企業や請負業者のネットワークは、脆弱なコンピューターを幅広く特定し、それらを悪用し、PRC政府に直接または間接的に販売できる情報を特定しています」とDoJは記しています。
「このほぼ無差別な手法により、米国および他国で被害者が増え、世界中のシステムが今後第三者による悪用にさらされ、PRC政府にとって関心のない情報も多く盗まれ、他の第三者に販売されることになります。」
COVID-19研究データが標的となり、窃取される
7月8日に発表された起訴状によると、徐は中国政府の指示で重要なCOVID-19研究を盗んだとされています。
これは、同じ政府がウイルスおよびその起源に関する情報を隠していた時期と重なっていると、米国テキサス南部地区連邦検事ニコラス・ガンジェイ(Nicholas Ganjei)氏は述べました。
裁判所の文書によれば、2020年初頭、徐と共謀者は、COVID-19ワクチン、治療、検査の研究を行っていた米国の大学、免疫学者、ウイルス学者を標的にしました。
ハッカーたちは、上海国家安全局(SSSB)という情報機関に活動を報告し、同機関が彼らの行動を監督・指示していました。
例えば、徐がテキサス州の研究大学への侵入を報告した後、SSSBの職員は、同大学でCOVID-19研究に従事するウイルス学者や免疫学者の特定のメールアカウント(メールボックス)を標的にしてアクセスするよう指示しました。
徐は後に、研究者のメールボックスの内容を入手したことをSSSBの職員に確認しました。
Hafniumキャンペーンによる機密政府データの窃取
2020年末から、徐と共謀者は悪名高いHafniumキャンペーンの一環として、Microsoft Exchange Serverの複数のゼロデイ脆弱性を悪用したとされています。
この中国国家支援のキャンペーンは、2021年3月にMicrosoftによって公表され、世界中で数千台のコンピューターが侵害されました。
徐はMicrosoft Exchangeの脆弱性を利用し、特定の米国政策立案者や政府機関に関する情報に不正アクセスしました。
これには、テキサス州の別の大学や、世界中にオフィスを持つ法律事務所の侵害も含まれていました。
Microsoft Exchange Serverを実行するコンピューターを悪用した後、徐と共謀者はウェブシェルをインストールし、リモート管理を可能にしました。
米国は2021年7月、HafniumキャンペーンをPRCの仕業と正式に認定しました。
FBIサイバー部門のブレット・リースマン(Brett Leatherman)副部長は次のようにコメントしています。「HAFNIUMを通じて、中国共産党(CCP)は6万以上の米国組織を標的とし、1万2700以上の組織を被害に遭わせ、機密情報を窃取しました。この逮捕は、イタリアの法執行機関との連携により実現し、CCP支援のハッカーに対するFBIの断固たる姿勢を示しています。」
ハッカーはSilk Typhoonグループと関連
この件について、Google脅威インテリジェンスグループのチーフアナリスト、ジョン・ハルトクイスト(John Hultquist)氏は、徐がSilk Typhoonグループに所属していると報じられていると述べました。同グループはゼロデイ脆弱性の繰り返しの悪用や、サプライチェーン攻撃による技術企業の侵害で知られています。
「報道によれば、この人物はCOVID-19研究を標的とした試みに関与していました。2020年、パンデミックの発生を受けて、我々が追跡していたほとんどのサイバー諜報活動者がCOVID-19に焦点を移しました。イラン、ロシア、北朝鮮、中国を拠点とするサイバー諜報活動者が、治療法に関する情報を求めて政府、学術機関、バイオテクノロジーの標的を一斉に攻撃しました」と彼は指摘しています。
ハルトクイスト氏は徐の逮捕を歓迎する一方で、短期的には中国国家支援のサイバー作戦に影響はないだろうと警告しました。
「残念ながら、この逮捕の影響がすぐに現れることはないでしょう。何十人ものオペレーターで構成される複数のチームが、今後もサイバー諜報活動を続けるでしょう。政府の支援者は抑止されることはありません。この逮捕によって作戦が停止したり、著しく遅くなったりすることは考えにくいですが、こうした優秀な若いハッカーたちがこの仕事に関わる前に一度立ち止まって考えるきっかけにはなるかもしれません」と彼は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-state-hacker-charged-covid/