みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

トップ > 標的型攻撃 > 米国CIA関連のAPT-C-39による中国へのサイバー攻撃について

米国CIA関連のAPT-C-39による中国へのサイバー攻撃について

標的型攻撃 ベンダーレポート サイバーセキュリティ

f:id:micro_keyword:20200305193657j:plain:w400

米国と中国は、米中貿易戦争と呼ばれるほど、貿易面において対立を続けていますが、サイバー攻撃においても例外ではありません。

つい先日の2月中旬にも、Equifaxへのサイバー攻撃の件で、中国の人民解放軍第54研究所のハッカー4名を訴訟しました。

www.bbc.com

サイバー攻撃においては、中国から米国への攻撃という構図をよく目にしている気がしています。

しかし今回はその逆で、米国から中国へ、それも、米国のCIAが攻撃を行なっているとのブログ記事が、中国のセキュリティベンダー奇虎360(Qihoo 360)によって公開されました。

blogs.360.cn

目次

APT-C-39による諜報活動

Qihoo 360によると、今回サイバー攻撃を行なっていることがわかった攻撃グループは、APT-C-39というグループで、CIAが関与しているとの事です。

2017年に元CIAのJoshua氏がWikileaksに公開した機密文書から分析した結果、2008年9月から2019年6月までの11年間に渡って、中国の組織を攻撃していたことが明らかになりました。

当該文書は、Vault 7と名付けられ、CIAの諜報活動について書かれています。

対象となった組織は、航空産業、科学研究機関、石油産業、大手インターネット企業、政府機関など、多岐に渡っていたとの事です。

そして、これらの攻撃すべてがAPT-C-39によるものだと、結論付けています。

以下は、同攻撃において、被害を受けた中国内の組織の分布図です。

http://pub1-bjyt.s3.addops.soft.360.cn/blog/20200224/upload_353853c33ba1a177781b74526c16d479.png

APT-C-39とCIAの関連を裏付ける5つの根拠

1. APT-C-39がVault 7関連のハッキングツールを使っている

APT-C-39は、FluxwireやGrasshopperなどのCIA独自のツールを用いて攻撃を実行しているとのことです。

2. そして、APT-C-39が用いるサンプルがCIAのツールと内容が一致している

サンプルに含まれるコマンドや暗号化方式などがVault 7に記載された特徴と一致しているとのことです。

3. APT-C-39は、Vault 7の公開前から関連マルウェアを使っていた

2010年のはじめ頃から、APT-C-39はCIAのツールFluxwireを使っていたことが分かっています。

以下は、Qihoo360がツールのバージョンをまとめた図です。

http://pub1-bjyt.s3.addops.soft.360.cn/blog/20200224/upload_2faaf7a725635167c527f3194d6f9bb5.png

4. APT-C-39が使用するツールがNSAに結びついている

WISTFULTOLLという、2014年に公開されたNSAの諜報活動についてのレポートで記載されていたツールをAPT-C-39が使用していること。そして、同時期にNSAがCIAのツール開発を支援していたことから関連が想像できるとのことです。

5. APT-C-39が使用するツールのコンパイルタイムが、北米の営業時間内

以下の図の通り、確認されたツールのコンパイルタイムが米国の営業時間に集中している点も、関連を裏付ける証拠になっていると、述べています。

http://pub1-bjyt.s3.addops.soft.360.cn/blog/20200224/upload_b36f29dcea848ff0b94c9749f799a5f0.png

狙われた情報について

国家安全保障の都合上、一部の情報公開のみとの事ですが、Qihoo 360は調査結果の一部をブログにて公開しています。

先述の航空組織および科学研究機関に対する攻撃では、システム開発者をターゲットにしていたとのことでした。

被害の例として、飛行制御システムや貨物情報サービス、決済サービスやチケット発行サービス、乗客情報システムをはじめとした、民間航空企業で稼働する情報通信サービスおよびシステムが挙げられています。

攻撃者は主にこれらのセクターのシステム開発者を標的にしてキャンペーンを実施しました。これらの開発者は主に、飛行制御システム、貨物情報サービス、決済および配信サービス、乗客情報システムなど、民間航空の情報技術にかかる仕事をしています。

民間航空の情報技術とは、国内および国際民間航空会社向けのさまざまな技術サービス、たとえば、飛行制御システム、乗客情報システム、空港乗客処理システム、拡張データおよび情報技術サービスを指します。

狙われたのは中国だけ?

Qihoo 360によると以下の通り、中国だけでなく、他の国組織への攻撃の可能性も示唆しています。

We speculate that in the past eleven years of infiltration attacks, CIA may have already grasped the most classified business information of China, even of many other countries in the world.

以下のWikileaksにも公開されている通り、このVault 7の中で、過去の攻撃で、幅広い対象への攻撃を行なっている可能性を示唆されています。

Vault7 - Home

この中で、Samsungスマートテレビに対する攻撃や自動車の車両制御システムへの攻撃、Androidiphoneへの侵入や制御などについて書かれており、様々な方法でのハッキングの可能性が書かれています。

まとめ

現地時間の2日前に米国はちょうど大統領選挙の一つのヤマ場であるスーパーチューズデーでした。

そんな折に公開された同ブログ記事ですが、文章量こそそれほど多くないものの強めの内容の記事になっていました。

大統領誰になるんでしょうかね。。。