複数の中国のAPTが機密インフラ内に主要な橋頭堡を確立

ダン・グッディン - 2023 年 8 月 1 日午後 12:29 UTC

中国政府のために働くハッキングチームは、その大部分が米国のものである機密インフラの最果てに侵入し、可能であればそこに永続的な存在を確立することに熱心です。 過去 2 年間で、彼らは国家安全保障を深刻に脅かす可能性のある勝利をいくつか記録しました。

以前はそれが明確ではなかったとしても、過去 1 週間に発表された 3 つのレポートによって、そのことが十分に明確になりました。 セキュリティ企業カスペルスキーが発表した論文の中で、研究者らは、産業インフラ内に「データ漏洩のための永続的なチャネル」を確立するために、あるグループが過去2年間にわたって使用した一連の高度なスパイツールについて詳述した。 ニューヨーク・タイムズ紙が日曜に発表した2番目の報道によると、中国政府のために活動する別のグループが、世界中の米軍基地で使用されている重要なインフラの奥深くに混乱を引き起こす可能性のあるマルウェアを隠していたという。 これらの報告は、Microsoftが国務省や商務省を含むクラウド顧客25社の電子メールアカウント侵害を明らかにした9日後に発表された。

この作戦は中国政府内の別々の部門から行われており、米国と欧州のインフラのさまざまな部分を標的にしているようだ。 ジルコニウムという名前で追跡されている最初のグループは、感染したターゲットからデータを盗もうとしています。 NYTによれば、ボルト・タイフーンとして知られる別のグループは、おそらく武力紛争の際に使用するために、米軍基地内に混乱を引き起こす長期的な能力を獲得することを目指しているという。 どちらの場合も、グループは密かに店を構えることができる恒久的な橋頭堡を作ろうとしている。

カスペルスキーが2週間前（パート1）と月曜日（パート2）に発表したレポートでは、ジルコニウムにあらゆる高度な機能を与える15のインプラントについて詳しく説明されている。 インプラントの機能は、ハッキングされたマシンへの永続的なリモート アクセスである第 1 段階から、それらのマシン (およびそれらが接続するエアギャップされたデバイス) からデータを収集する第 2 段階、そして盗まれたデータをジルコニウム制御のサーバーにアップロードするために使用される第 3 段階まで多岐にわたります。コマンドサーバー。

ジルコニウムは、中華人民共和国のために活動するハッカー グループです。 この部隊は伝統的に、政府、金融、航空宇宙、防衛関連の組織や、テクノロジー、建設、エンジニアリング、通信、メディア、保険業界の企業など、幅広い産業および情報エンティティをターゲットにしてきました。 ジルコニウムは、APt31 およびジャッジメント パンダという名前でも追跡されており、APT (高度持続的脅威) の一例であり、国民国家のために、国民国家に代わって、または国民国家の一部としてハッキングを行うユニットです。

カスペルスキーの報告書によると、大規模なルーター攻撃とほぼ同時期に、ジルコニウムはさらに別の大規模な取り組みに忙しかった。そのプロジェクトとは、15 個のインプラントを使用して、標的となったネットワークの奥深くで強化された機密情報を探り出すというものだった。 マルウェアは通常、DLL ハイジャックとして知られる方法でインストールされます。 この種の攻撃は、さまざまな Windows プロセスを動作させる DLL ファイルに悪意のあるコードを挿入する方法を見つけます。 このマルウェアは、注入される直前まで RC4 アルゴリズムを使用してデータを暗号化し、その痕跡を隠蔽しました。

カスペルスキーによると、マルウェアのワームコンポーネントはリムーバブルドライブに感染し、エアギャップのあるデバイスに差し込むと、そこに保存されている機密データを見つけてコピーする可能性があるという。 インターネットに接続されたマシンに再度接続すると、感染したディスク デバイスによってそこにデータが書き込まれます。

「調査を通じて、カスペルスキーの研究者らは、攻撃者が検出と分析を回避しようとする意図的な努力を観察した」とカスペルスキーは書いている。 「彼らは、ペイロードを暗号化された形式で個別のバイナリ データ ファイル内に隠し、DLL ハイジャックと一連のメモリ インジェクションを通じて正規のアプリケーションのメモリに悪意のあるコードを埋め込むことで、これを達成しました。」