Cybereasonのサイバーセキュリティ研究者が、大手通信事業者のネットワーク侵害に焦点を当てたサイバー諜報活動について調査している。
Cybereason Nocturnusが米国時間8月3日に公開した報告書によると、サイバー攻撃グループは「DeadRinger」という名の下、「中国国家の利益」のために活動していると考えられる。Cybereasonは3つのクラスターを特定したという。
同社によると、「これまで特定されていなかった」これらのキャンペーンは、主に東南アジアで展開されている。そして、SolarWindsやKaseyaを狙った攻撃が、ベンダーを通じて被害者へのアクセスを確保したのと同様に、このグループは通信事業者を標的にしているという。
同社は、これらの攻撃が、既知の中国のAPT(Advanced Persistent Threat)グループと、戦術や技術が重複していることから、中国国家の支援を受けたAPTグループなどが関与しているとみている。
3つのアクティビティークラスターが見つかっており、最も古い攻撃は2017年にさかのぼる。1つめはSoft Cell APTが実施したとみられ、2018年に攻撃を開始している。
2つめのクラスターは、Naikon APTの仕業と考えられる。2020年第4四半期から活動が確認されており、2021年第1四半期まで続いている。Cybereasonによると、Naikonは中国人民解放軍(PLA)の軍事局と関連している可能性がある。
3つ目のクラスターは、2017年以降活動しているとみられる。APT27/Emissary Pandaが背後にいる可能性があると考えられる。「Microsoft Exchange Server」を侵害するために、独自のバックドアを使う。2021年第1四半期まで活動が確認されている。
報告書で指摘されている手法には、Microsoft Exchange Serverの脆弱性の悪用、「China Chopper」ウェブシェルの展開などがある。また「Mimikatz」を使った認証情報の取得、「Cobalt Strike」ローダーの利用、コマンド&コントロール(C2)サーバーに接続するためのバックドアの利用といった手口も用いられている。
Cybereasonによると、いずれの攻撃クラスターも、通信事業者のネットワーク侵害の目的は、「機密情報の収集、呼詳細レコード(CDR:Call Detail Record)データを含む請求サーバーなどの重要なビジネス資産、そしてドメインコントローラー、ウェブサーバー、Microsoft Exchange Serverなどの重要なネットワークコンポーネントを侵害して、サイバー諜報活動を推進すること」だという。
場合によっては、各クラスターが重複し、同じターゲット環境やエンドポイントで同じ時に発見されたこともある。しかしCybereasonは、それぞれが独立して活動していたのか、別の中心的なグループの指示を受けて活動していたのか、現時点では明らかではないとしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。