出典:BeeBright / Shutterstock
中国政府支援の脅威グループ「Silk Typhoon」による米国政府やその他の標的への攻撃に関する新たな洞察により、これまで知られていなかった高度な攻撃ツールや、攻撃者と彼らが所属する企業、そして中国政府との密接な関係が明らかになりました。
SentinelLabsは、今月初めに米司法省(DoJ)が公開した2人のハッカー、起訴状(Xu ZeweiとZhang Yu)を分析し、彼らが中国国家安全省(MSS)のために2つの企業で働いていたことを示す内容を、本日公開されたレポートで明らかにしました。両名は悪名高い中国の脅威アクターであるSilk Typhoon(別名Hafnium)の一員とされており、起訴状の情報は、中国の契約エコシステムが脅威の状況において重要な役割を果たしていることを示しています。 同レポートによれば。
具体的には、研究者らは、Silk Typhoonのために活動している上海Firetech情報科学技術公司などの企業が登録した「極めて侵入的なフォレンジックおよびデータ収集技術」に関する10件以上の特許を特定しました。これらはこれまで脅威アクターのツールとして特定されていませんでした。これらの技術は、暗号化されたエンドポイントデータの取得からモバイルフォレンジック、ネットワーク機器からのデータ収集まで、未報告の攻撃能力を提供します。
脅威グループの枠を超えて
この発見は、従来の脅威の帰属のギャップを浮き彫りにしています。従来は名指しされた脅威アクターの特定に重点が置かれてきましたが、実際には彼らが雇用されている企業の存在も攻撃調査時に見逃してはならないと、SentinelOneの中国専門コンサルタントであり、Atlantic CouncilのGlobal China Hubの非常勤フェローであるDakota Cary氏は指摘しています。
読み込み中。..
今回起訴されたハッカーを雇用していた企業は、中国のために攻撃的なハッキングを行う中国の請負業者の階層の一部だったと、Cary氏はDark Readingにメールで語っています。
読み込み中。..
「上海Firetechが保有する能力と、Hafnium(戦術・技術・手順、TTP)で観測されたものとの違いは、侵入活動を組織に結びつけることが、特に中国においては1対1の関係ではないことを示しています」とCary氏はDark Readingに語ります。「防御側は、上海Firetechが支援した他の侵入に遭遇していても、同じ企業がその侵入とHafniumの両方の背後にいることに気づかないかもしれません。」全体としてSentinelLabsは、防御側が攻撃の背後にいる個人やグループだけでなく、彼らが所属する企業、その企業が持つ能力、そしてそれらの能力が国家機関の取り組みをどのように強化しているかを特定することで優位に立てると指摘しています。
中国の「雇われハッカー」エコシステムの解明
Silk Typhoon/Hafniumは、セキュリティ研究者が長年追跡してきた悪名高い脅威グループです。最近では米国財務省への侵害に関与したとされていますが、防衛請負業者、医療機関、非政府組織、高等教育機関、法律事務所、政策シンクタンクなど、複数の分野の組織への攻撃にも関与しています。
2021年には、同グループはMicrosoft Exchange Serverの4つのゼロデイ脆弱性を悪用し、特にProxyLogonとして知られるものを含め、標的型攻撃でメールサーバーを侵害したことで大きな注目を集めました。
起訴状によれば、中国の契約エコシステムは多くの企業や個人に侵入活動への協力を強いており、Silk Typhoonのような中国拠点の高度持続的脅威(APT)は、さまざまな企業やクライアントを含んでいる可能性が高いとCary氏は述べています。
「中国の多様な民間セクターによる攻撃的エコシステムは、幅広い侵入能力を支えています」とCary氏はDark Readingに語ります。「観測されたツールを特定のクラスターに結びつけても、攻撃者の実際の組織構造を正確に表しているとは限りません。」
実際、DoJの起訴状は中国国内の攻撃的ハッキング組織の階層構造を明らかにしており、ZeweiとYuは上海国家安全局(SSSB)の指示の下で働く一方、他の企業にも所属していました。Zeweiは上海Powerock Network Companyに勤務し、Yuは上海Firetechに雇用されており、同社はMSS職員からの特定の任務を受けていました。
また、階層の下位にはi-Soonのような企業も存在し、同社の従業員は士気が低く、低賃金の契約に悩まされており、しばしばより大きく優れた企業に下請けしています。これらの労働者は、安定したビジネスを持ち、複数のオフィスで活動し、かつては中国で最も活動的なAPTだった直接の競合企業Chengdu404で働くことで、階層を上がることができます。
脅威インテリジェンスの再考
これらすべてが脅威インテリジェンスにもたらす意味は、研究者が行動クラスターの追跡やAPTや他のグループへの帰属にとどまらず、グループの個々のメンバーを雇用している組織やその能力をより深く掘り下げて追跡するべきだということです。
これにより、さまざまな脅威グループやアクターの背後にある、これらの組織が提供する攻撃ツールによって結びつけられた既知の関連性を発見し、より効果的な脅威ハンティングにつながる可能性があるとCary氏は指摘します。
「脅威インテリジェンスアナリストは、攻撃者やそのAPT間の関係性の指標としてツールの使用だけに頼ることには注意が必要です」と彼は述べます。「研究が示すように、侵入を支援する企業は、そのツールをエコシステム内の他のアクターにも提供している可能性があり、不完全または誤解を招く帰属につながることがあります。」
翻訳元: https://www.darkreading.com/threat-intelligence/silk-typhoon-powerful-offensive-tools-prc