- 中国政府の支援を受けたアクターが「Brickworm」マルウェアを展開し、世界中の政府機関およびITネットワークに侵入
- マルウェアは VMware vSphere と Windows を標的とし、持続的な潜伏、ファイル操作、Active Directory の侵害を可能にする
- CISA は長期的なスパイ活動および破壊工作のリスクを警告。中国は非難を否定し、米国を「サイバーいじめっ子」と呼ぶ
中国政府の支援を受けた脅威アクターは「Brickworm」マルウェアを世界中の政府機関に対して使用し、アクセスを維持し、ファイルを流出させ、盗聴を行っている。
これは、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、カナダ・サイバーセキュリティセンターが共同で発表した報告書によるものだ。同報告書は、被害組織のネットワークから入手した8つのサンプルを分析し、その結果に基づいてマルウェアの動作を詳述している。
この中で、報告書は、被害者が誰でどこに所在するかといった詳細には触れずに、「政府および情報技術」組織が中華人民共和国(PRC)のハッカーに狙われていると述べている。同時に、CrowdStrike は、このマルウェアがアジア太平洋地域のある政府機関に対して使用されているのを確認したと述べた。
ファイル操作
標的ネットワークに侵入するため、脅威アクターは VMware vSphere と Windows システムを狙う。
「CISA がインシデント対応を実施した被害組織において、PRC 政府支援のサイバーアクターは 2024年4月にその組織の内部ネットワークへの長期的かつ持続的なアクセスを獲得し、内部の VMware vCenter サーバーに BRICKSTORM マルウェアをアップロードしました」と CISA は強調した。そのうえで、攻撃者が Active Directory を狙ったと付け加えた。
「彼らは 2 つのドメインコントローラーと Active Directory フェデレーションサービス(ADFS)サーバーにもアクセスしました。ADFS サーバーの侵害に成功し、暗号鍵をエクスポートしました。」
ステルス性の高いアクセスを維持できるだけでなく、「Brickworm」はデバイス上のすべてのファイルへのアクセスおよび操作も可能にした。場合によっては、ネットワーク内を横方向に移動し、さらに多くのデバイスを侵害することにも成功している。
CISA 代理長官の Madhu Gottumukkala 氏にとって、この報告書は「中華人民共和国がもたらす深刻な脅威を浮き彫りにするものであり、それは米国、同盟国、そして我々全員が依存する重要インフラに対して、継続的なサイバーセキュリティ上の脆弱性とコストを生み出している」とのことだ。
「これら国家支援アクターは、単にネットワークに侵入しているだけではありません。長期的なアクセス、混乱、さらには破壊工作を可能にするため、自らをネットワーク内部に埋め込んでいるのです」と同氏は述べた。
中国は、長年にわたり、西側諸国に対する数え切れないほどの大規模サイバー攻撃の発信源とされてきた。通信事業者、重要インフラ、政府機関を標的にしたとされ、サイバースパイ活動や潜在的な混乱の引き起こしに関心を持っていると非難されている。中には、数年前から計画・実行されていた攻撃もあり、台湾との将来の戦争を見据えた作戦の一部だった可能性がある。
しかし同国の代表者らは、こうした非難を常に強く否定し、代わりに米国を世界最大の「サイバーいじめっ子」と表現している。
