英国政府とPwC、BAE Systemsが4月に、中国のハッカーグループ「APT 10」によるサイバースパイ活動「Operation Cloud Hopper」のレポートを発表した。PwCサイバーサービスによれば、この活動では日本の企業や大学、組織なども巻き込まれていた。同社が活動の実態や今後予想されるAPT 10の標的などについて解説している。
APT 10は、少なくとも2009年にサイバースパイ活動を開始した。当初は米国の軍事関連組織を標的にしていたが、徐々にさまざまな産業分野を狙うようになり、最近ではITのマネージドサービスプロバイダー(MSP)を標的にしている。Operation Cloud HopperではMSPを踏み台に複数の組織へ侵入を図り、機密情報を搾取した可能性がある。PwCの英国法人が対応した6件のインシデントからOperation Cloud Hopperを把握し、BAEらと調査を行ったという。
APT 10は2009年頃から、さまざまなサイバースパイ活動を展開している
PwCサイバーサービス サイバーセキュリティ研究所の神薗雅紀所長によると、Operation Cloud HopperではまずAPT 10が標的にしたMSPのネットワークに侵入し、内部システムを探索して、MSPの顧客のシステムへアクセスできる権限を入手した。MSPは保守などのために顧客システムにアクセスする仕組みがあったようだ。
PwCサイバーサービス サイバーセキュリティ研究所長の神薗雅紀氏
APT 10は、この仕組みを踏み台に顧客のシステムへ潜入し、目的とするデータを探索。ここで発見したデータを圧縮し、MSP側のネットワークに持ち出す。さらにMSPからAPT 10の配下にあるサーバなどへ転送したとみられている。
一連の流れの中でAPT 10は、搾取した正規の認証情報や多数のハッキングツール、マルウェアを駆使していた。具体的には、「ChChes」と呼ばれる新種のマルウェアなどを用いたフィッシング攻撃を行い、MSPに侵入するための認証情報を搾取した。この情報と遠隔操作型マルウェアの「Poison Ivy」「PlugX」やオープンソースツール「Quasar」など使ってリモートデスクトップ経由で、MSPの顧客システムにアクセスする。
侵入後は、不正に改造したDLLあるいは正規のツールを使って、目的とするデータを探索した。盗み出すデータは、遠隔操作「t.vbs」スクリプトを実行して圧縮。圧縮したデータは、「net use」コマンドで外部ネットワークと共有しつつ「robocopy」コマンドでコピーし、さらに「Putty Secure Copy Client」を使用して外部に転送していたという。
神薗氏によれば、APT 10はMSPに侵入して以降の活動で、セキュリティシステムによる検知を回避するために、IT管理者が使用するような正規のツールやソフトウェアを多用していた。一方でマルウェアに関しては、2013~2014年に米Mandiant(FireEye)がAPT 10などの手口をレポートしたことで手法を変えたようだ。
Operation Cloud Hopperの全体像
侵入のために新たなマルウェアのChChesなどを開発しながら、侵入後はPlugXなど既存のマルウェアを再利用するなど、効率的に活動を展開する意図もうかがえる。ChChesは、2016年10月頃から日本への標的型攻撃にも使われており、JPCERT コーディネーションセンターが1月に分析レポートを発表している。
PwCらが、Operation Cloud HopperをAPT 10による活動としている根拠は、攻撃に使われたマルウェアやツールの傾向に加えて、活動する時間帯にもあるという。例えば、APT 10が攻撃に使うトップレベルドメインを登録した時間や、PlugXなどをコンパイルした時間は、いずれも中国時間の午前8時頃から正午頃と、午後1時頃から午後6時頃に集中していた。しかし、ChChesがコンパイルされた時間帯は中国時間の深夜や午前中に集中していた。
APT 10がドメイン登録した世界協定時間(UTC)によるタイミングを中国の時間に当てはめると、ビジネスアワーに一致するという
神薗氏は、「APT 10は中国のビジネスアワーで行動しているとみられるが、ChChesのような新たな攻撃手段は、時間をずらすことで狙った相手に検知されないようにした意図があるようだ」と話す。