SentinelOneのSentinelLabsによる新たな報告書によると、多数の中国国家支援ハッカーは、攻撃用ツールを開発する中国企業によって支援されています。
最近公開されたXu ZeweiとZhang Yuに対する起訴状(両名はSilk Typhoon(別名Hafnium)として追跡されているAPTの一員とされる中国籍の人物)を調査したところ、SentinelLabsは攻撃技術を構築する複数の中国企業との関係を明らかにしました。
Silk Typhoonは、防衛、医療、高等教育、法律サービス、非政府組織を標的にしていることで知られており、昨年の米国財務省への攻撃や、グローバルITサプライチェーンへのハッキングも含まれます。
XuとZhang以前にも、米国はこのAPTに関連する他の2人のハッカー、すなわちYin KechengとZhou Shuaiを起訴しており、Zhouの上海拠点の企業iSoonを通じて関連付けられ、Silk Typhoonを含む様々な中国の脅威アクターに起因するサイバー作戦に関与してきました。
起訴状によれば、ハッカーと関連するその他の中国企業には、上海黒鷹信息技術有限公司(Shanghai Heiying Information Technology Company)、上海パワーロックネットワーク有限公司(Shanghai Powerock Network Company)、上海ファイアテック信息科技有限公司(Shanghai Firetech Information Science and Technology Company)などがあります。
これらの企業は、SentinelLabsによれば、中国国家安全省(MSS)のために様々な業務やタスクを実施しており、Chengdu404(iSoonの主な競合企業で、一時は中国で最も活動的なAPTの一つ)と同様です。MSSの活動のためのフロント企業としては、2010年に設立された武漢小睿智(Wuhan XRZ)もあります。
SentinelLabsの報告書は、ハッカー、彼らの企業、中国政府との関係が一方向ではないことを示しており、上海国家安全局(SSSB)が2021年のExchange ServerにおけるProxyLogonゼロデイの悪用を支援した可能性を指摘しています。
Silk Typhoonは2021年1月にこれらのバグの悪用を開始しており、ちょうどその頃セキュリティ研究者のOrangeTsaiがExchange Serverにおける認証前リモートコード実行(RCE)脆弱性を発見したことを公表していました。
広告。スクロールして続きをお読みください。
APTがMicrosoftのバグ報告を担当する従業員のデバイスをハッキングした、あるいはOrangeTsaiのデバイスが侵害されてエクスプロイトが盗まれたのではないかと推測されていました。しかし、広東省のセキュリティ機関がハッカーにマルウェアを渡している様子が確認されており、SSSBも同様のことをしていた可能性があります。
「しかし、ZhangとXuがSSSBと密接な関係にあることから、同局がMicrosoft内部の協力者、OrangeTsaiへの近接アクセス作戦、または他の情報収集手段を通じてOrangeTsaiの研究を自ら収集し、それをXuとZhangに渡した可能性があります」とSentinelLabsは述べています。
2021年3月、Silk TyphoonがProxyLogonと呼ばれるExchangeのゼロデイを悪用していると警告してからわずか3日後、Microsoftは複数の悪意あるアクターがその脆弱性を標的にし始めたと指摘しました。ハッカーやその企業が複数の作戦に関与していることが、エクスプロイトの急速な普及を説明するものかもしれません。
SentinelLabsはまた、そのAPTと他の2人の中国人、Yin WenjiとPeng Yinan(Zhang Yuと共にCampus Commandを共同設立)との関連も特定しました。
上海ファイアテックの創設者兼CEOであるYin Wenjiは、2015年にApple Filevaultからファイルを回復する可能性について言及しています。2020年には、同社が「Appleコンピュータからファイルを収集できるツール」の特許保護を申請したとSentinelLabは指摘しています。
上海ファイアテックはまた、Appleデバイス、ルーター、その他のシステムからリモートで自動証拠収集を可能にするフォレンジック技術の特許も申請しています。これらの機能の一部はSilk Typhoonの武器庫にも含まれています。
その他の特許からは、同社がHUMINT(人的情報源からの情報収集)作戦に有用な機能を開発していることや、依然として攻撃的作戦を支援していることが示されています。同社は重慶に子会社(重慶ファイアテック)を持つことから、上海以外の顧客にもサービスを提供している可能性があります。
「上海ファイアテックが保有するツールの多様性は、HafniumやSilk Typhoonに公に帰属されているものを上回っています。これらの発見は、侵入の責任組織を正確に特定することの難しさを浮き彫りにしています。これらの能力は他の地域のMSSオフィスにも販売されている可能性があり、そのためHafniumに帰属されていない場合もあります」とSentinelLabsは述べています。
関連記事: 中国法執行機関が使用するモバイルフォレンジックツールの解析
関連記事: 中国のハッカーとユーザーの過失がスマートフォンを「モバイルセキュリティ危機」に
関連記事: 中国AIの連邦機関導入を阻止する超党派法案