Mandiantレポートの研究

本レポートは、2013年2月に米国のセキュリティ企業Mandiant社が発表した中国のサイバー攻撃に関するレポートの一部を日本語でまとめることを試みたものです。本レポートの内容はオーソライズされておらず、Mandiant社レポートの内容を正確に記述しているものではありません。

■要約
2004年以来、Mandiantは世界の何百もの組織に対して行われているサイバー攻撃(computer security breaches)について調査をしてきました。これらはAdvanced Persistant Threat(APT)と呼ばれる行為によって行われています。我々は2010年1月にM-Trendという報告書を発表し、そのレポートでAPTについての詳細を明らかにしました。そのレポートにおいて我々は、中国政府はこられの行為を容認しているかもしれないとの見解を表明しました。しかし、中国政府の関与の程度については明らかにすることはできませんでした。しかし、それから3年に及ぶ調査に基づき、我々は、これらの行為を指揮している組織が中国国内に拠点があり、中国政府もそのことを認知していると確信しています。

Mandiantは世界中のAPT攻撃者たちを追跡し続けています。しかし、このレポートでは中国に起源のある20以上のAPT攻撃者グループの中の1つ、我々がAPT1と呼ぶグループについて取り上げています。APT1は少なくとも2006年から広く海外に向けてサイバースパイ行為を指揮している組織です。長期にわたり大量の情報を得ているサイバースパイ組織の1つです。我々が観察している行為はAPT1が指揮しているサイバースパイ活動のごく一部にしかすぎません。我々はAPT1が過去7年以上にわたり150もの対象者に侵入をしていると分析しています。我々はAPT1のかなりの攻撃インフラ、C&Cやモジュールの手口(ツール、戦術、手順)を発見しました。我々はAPT1に関係している3人について明らかにしています、これらオペレーターは軍人のようであり、単に他からの命令に従っているだけかもしれません。我々は、APT1は中国政府が後援している可能性が高いとの結論に至りました。APT1が長期間にわたり広範囲にサイバースパイ活動を行うことができるのは、政府の直接的な支援を受けているからだと確信しています。この行為の背後にある組織を調査している中で、我々はAPT1と使命や機能そしてリソースが似た人民解放軍61398部を発見しました。人民解放軍61398部はAPT1と同じ地域にあります。

APT1は、一般的にはMilitary unit Cover Designator (MuCD)、61398部として知られている人民解放軍(PLA)の总参三部二局であると思われます。61398部は中国の国家機密を取り扱っていると考えられていますが、我々はコンピューターに危害を加える任務を遂行しているとみています。61398部は高桥镇の大同路に一部があり、また、上海の浦东新区にあります。我々は61398部は数千人規模であると見ています。チャイナテレコムは61398部のために特別な光ファイバー通信インフラを提供しています。61398部はコンピューターセキュリティやネットワークオペレーションの訓練を受け、英語が堪能な人々を必要としています。Mandiantは上海の4つのネットワークを通してAPT1を追跡しました。4つのネットワークのうち、2つは61398部のある浦东新区をserveしています。

APT1は、少なくとも141組織から数百テラバイトのデータを系統的に盗んています。APT1には長年にわたって培われた、膨大な知的財産を盗む明確に定義された攻撃方法があります。APT1は一度、対象者にアクセスをするとそのネットワークに何カ月も何年も定期的に訪問し、技術や製造プロセス、テスト結果、ビジネスプラン、価格文書、契約書、メールなどを盗んでいます。

APT1は狙ったネットワークに対して平均356日間、アクセスし続けます。APT1がアクセスしたもっとも長い期間は1764日、4年10カ月でした。2011年の年初、APT1は10の異なる産業分野で少なくとも17の新しいターゲットへの侵入に成功しました。我々は、我々がこのレポートで明らかにしたAPT1の活動は、APT1の経済スパイ活動のほんのひと握りだと考えています。このレポートはAPT1が活動をした141の組織のうちの91のケースに基づいて作成しています。APT1は英語圏で国際的に活動している組織に焦点を当てています。141のターゲットのうち87%は英語をネイティブな言語としている国に本社・本部があります。APT1がターゲットにしている産業の多くは、中国が成長戦略として位置づけている産業がほとんどであり、その中には中国の第12次5カ年計画で規定した成長戦略7分野のうちの4分野を含んでいます。APT1は世界中のコンピューターシステムで活動を継続しています。APT1は何千ものコンピューターシステムに侵入してコントロールしています。我々が把握したものだけでも、APT1は昨年と一昨年に13の国で849のIPアドレスを少なくとも937のC&Cサーバーに開設しました。849のIPアドレスのうち中国に登録されているものは709、アメリカで登録されているものは109です。

2011年1月から2013年1月までに、APT1がリモートデスクトップで832の異なるIPアドレスから攻撃をするために、1905のログインのインスタンスを確認しました。ここ数年で我々は2551のFQDNがAPT1に起因していることを確認しています。1905のうちの97%以上が、上海で登録されたIPアドレスと簡易な中国語が使われているシステムが使われている、攻撃対象に接続する侵入者だとMandiantは見ています。

我々の監視下でAPT1が行ったリモートデスクトップセッション1905回のうちの1849回(97%)は、APT1オペレーターのキーボードが中国語―英語のキーボードでした。マイクロソフトのリモートデスクトップクライアントはクライアントシステム上で選択された言語を自動的に設定します。そのため、APT1の攻撃者のマイクロソフトのオペレーティングシステムは簡易中国語のフォントに設定されていました。リモートデスクトップを使ってAPT1がコントロールしていた832IPアドレスのうち817(98%)は、中国に帰属していました。、HTRANで使われた614のIPアドレスのすべてが中国で登録されていました。また、614のIPアドレスのうちの613(99.8%)は4つある上海のネットブロックのうちの1つに登録されていました。

■結論
中国を拠点とした同じグループからの長期にわたる持続的かつ広範囲の攻撃をみれば、APT1の背後に組織が関与していることは疑う余地がありません。我々は、この報告書を通してAPT1は61398部であると主張しています。しかしながら、我々はまた、我々の考えが断定されるものではないことも認めます。上海の通信インフラに直接アクセスすることができ、資金力があり、中国語を話す人々によって構成されている組織が、何年間にもわたる秘密の任務としてコンピュータによるスパイ活動を行っていたのです。しかも、彼らは61398部のすぐ近くで任務を行っており、その活動は61398部と極めて類似したものです。

■なぜ我々はAPT1を暴露するのか
我々は、なぜ61398部に関する重要な情報を公開したのか?我々は秘かにAPT1について調査を続けてきましたが、情報収集上のリスクよりも、これらの情報を明らかにすることの方が大きな成果が得られると判断しました。中国を起源とする脅威を知った時、我々はその脅威と効果的に戦う専門的なセキュリティを準備することが我々の役割だと考えました。標的型攻撃によるサイバースパイ活動を明らかにしようとする時、その攻撃がどこから行われているのかということが、これまで明らかにされないできました。中国との強固な関わりを明らかにすることなく、標的型攻撃を犯罪行為としてとらえてきました。我々は、我々の報告書が標的型攻撃に対する理解を増し、対抗する措置のための施策に役立つものと期待しています。

同時にAPT1の情報を公開することにはマイナス面もあります。報告書の中で説明されている手法や技術は、そうした手法や技術を知らない攻撃者たちにとってはとても効果的なものです。また、そうした手法や技術が公開されれば、これら技術や手法は使われなくなるでしょう。この報告書が公開され、61398部が彼らの攻撃の手法を変えれば、我々は彼らを追跡するためによりハードな仕事を強いられることになります。この報告書は一時的に61398部のコストを増大させ、彼らの進捗を妨げることになるかもしれません。それは我々が大いに期待していることです。この報告書を出すリスクについて我々は承知しています。我々は批判と中国からの報復を待ち受けています。

■Mandiant社
同社のチーフエグゼクティブオフィサーのケビン・マンディア氏が2004年にRed Cliff Consultingとして設立、2006年にマンディアントに商標変更された。2011年にはベンチャーキャピタルのKleiner Perkins Caufield & Byersより融資を受けて事業を拡大。2013年2月にサイバースパイ活動において中国の直接的な関与を指摘する報告書を発表して大きな反響を呼んだ。2013年10月にマンディアント社はFireEye社に約10億ドルで買収された。
・wikipedia http://en.wikipedia.org/wiki/Mandiant
ケビン・マンディア氏は、ラファイエット大学でコンピュータ科学の理学士を取得し、ジョージ・ワシントン大学で科学捜査の理学修士を取得した。ケビン・マンディア氏のキャリアは米空軍から始まった。国防省通信部隊のコンピュータセキュリティの将校として仕え、後には(空軍特殊捜査室)のサイバー犯罪捜査官を務めた。民間では、ロッキード・マーティンやマカフィーにおいてディレクター職を務めた。連邦捜査局や検察局、シークレットサービス、空軍、その他の米政府機関に対する専門的なサイバーセキュリティのカリキュラムの開発を手がけている。「Incident Response and Computer Forensics, Third Edition」を共著で出版している。
・CruchBase http://www.crunchbase.com/person/kevin-mandia

■HTRAN
2003年頃に中国紅客連盟により発行されたパケット送信ツール。シマンテックによると、指定したリモートホストにすべてのインターネットトラフィックを転送する。開発者は中国紅客連盟のメンバーでlionとして知られる中国人ハッカーとされ、標的型攻撃において、中国の攻撃者にとどまらず広くこのツールが使われている実態があるようだ。報道によれば、2011年3月に起きたRSA事件や2012年7月20日に財務省が明らかにしたサイバー攻撃、2013年1月に発覚したTPP関連の機密が漏えいしたとされる農林水産省へのサイバー攻撃でも検出が明らかになっている。
・http://blog.f-secure.jp/archives/50660840.html
・http://www.secureworks.com/cyber-threat-intelligence/threats/htran/
・http://www.symantec.com/ja/jp/security_response/print_writeup.jsp?docid=2011-080812-0817-99
・読売新聞,2013年1月3日朝刊

中国のコンピュータネットワークオペレーションが61398部隊をタスクしている
我々の調査と観測によれば、中国共産党は、中国人民解放軍にシステマティックなサイバースパイ活動と世界中の組織からのデータ窃取を課している。この章では61398部隊の施設の写真と詳細、61398部隊の訓練の概要について論じている中国の文献、そして、ある中国国有企業とその部隊との関係性について記した中国の内部記録を紹介する。

■中国共産党
中国人民解放軍のサイバー部隊は、中国共産党のもとで統制されており、その活動は中国国有企業の協力のもとで行われている。中国共産党は、中国本土における権力の中枢であり、政党が政府の権限下にある西洋社会とは異なっている。中国における軍と政府は中国共産党の権限下にあり、実際、中国人民解放軍は中央軍事委員会に報告をする。このことは、中国人民解放軍による企業へのサイバースパイ活動は中国共産党の上部委員の指示にもとづいていることを意味している。我々は、中国人民解放軍の戦略的サイバー指令は、中国人民解放軍の参謀部第3部にあると信じている。参謀部は人民解放軍の最上級機関であり、アメリカ軍で言えば統合参謀本部に当たる。参謀部は、教義を確立し、人民解放軍に対しオペレーションガイダンスを供給している。第3部は暗号と外国語の解読、防衛情報システムを担当している。参謀部第3部には12の局と3つの研究施設、16の地方支局があり、約13万人の職員がいるものとみられる。我々は、中国人民解放軍参謀部第3部2局こそ、我々がAPT1として追跡している標的型攻撃のグループだと信じている。図は2局が、中央軍事委員会の高い位置にある組織であることを示したものだ。

部隊のコンピュータネットワークオペレーションの使命と能力を分析する
一般に公表されているリファレンスによれば、中国人民解放軍参謀部第3部2局は、MUCD61398(※)として確認され、一般には61398部として知られている。リファレンスは、61398部がコンピューターネットワークオペレーションを請け負っていることを明らかにしている。The ProJect 2049 Institute(http://project2049.net/)は、61398部はアメリカやカナダの政治、経済、軍事関連の機密をターゲットにしていることは明らかと2011年にレポートしている。我々の調査はこれをサポートし、61398部のコンピューターネットワークオペレーションは、アメリカやカナダにとどまらず、英語を主要な言語としている組織を対象にしている可能性が高いことを示唆している。

MUCDとは何か? 中国の軍隊は、5桁の数列であるMUCD(Military Unit Cover Designators)を与えられている。MUCDは公的に使用され、インターネットにも表示される。MUCDナンバーは、一般的に部隊施設の外側に旗と同じように表示される。
※ソース/The Chinese Today:Traditional and Transformation for the 21st Century―Dennis J.Blasko

61398部隊と参謀部第3部2局は同一である
参謀部第3部2局と61398部に言及している中国政府の公式文書をインターネットで検索すると、人民解放軍は参謀部第3部2局と61398部を分けているのではないかという点に注意が寄せられる。我々の使命は中国政府と61398部との関係を明らかにすることにあるが、我々は調査の過程で第3部2局が61398部であることを示す検索結果を発見した。特にグーグルはフォーラムや検索結果で61398部のリファレンスをインデックスしていた。これらのインデックスは中国共産党の検閲で発見され、これら投稿やドキュメントはインターネットから修正もしくは除去された。61398部のグーグルの検索結果を下図に示す(これら検察結果のリンクはあなたがこの報告書を読むまでに除去されるでしょう)。

■61398部の人材
61398部が、様々なサイバートピックに関し英語が堪能な専門性の高い職員を求め、訓練を行っていることは明らかだ。61398部の元職員、現役職員も明らかにしている。例えば、暗号化通信を学ぶ大学院生の李兵兵は、マイクロソフトワードドキュメントに暗号化通信を埋め込む議論をしている2010年に発行されたペーパーで、61398部の所属であることを認めている。もう一つの例は、王卫忠が河北商工会議所に提出した経歴だ。そこには、英語の専門家として61398部を割り当てられた間に受けた訓練について述べられている。これらは、以下に記した専門領域が61398部に関係していることを証明している。

【61398部の専門領域】 【出所】
暗号通信 中国の学術誌記事。第2筆者の李兵兵は61398部に言及している。
英語 河北商工会議所のメンバー、王卫忠の経歴。61398部に仕えていた間、英語のスペシャリストとしての訓練を受けたことが記されている
インターネットのオペレーティングシステム 中国の学術誌。第2筆者の虞云翔は自身が専門性を身につけたソースとして61398部をあげている。
デジタル信号処理 中国の学術誌。第2筆者の彭飞は自身が専門性を身につけたソースとして61398部をあげている。
ネットワークセキュリティ 中国の学術誌。第3筆者の陈依群は自身が専門性を身につけたソースとして61398部をあげている。

加えて61398部が、ハルビン工業大学や浙江大学计算机学院のような科学や工学系の大学から積極的に人材をリクルートしている明らかな証拠がある。61398部の職業コードの多くは、高度なコンピュータースキルの要求にこたえる人材を求めている。また、英語に習熟していることもしばしば求めている。

■61398部の人員規模と施設の場所
我々は、61398部の物理的インフラの規模から推定して、61398部は何百、恐らくは何千人規模の人員で構成されていると推測している。これは、61398部に関係する施設や場所について触れている中国国内で公に確認されるソースから推定されるものです。例えば、江苏龙海建工集团有限公司が上海市浦东新区高桥镇大同路208号に61398部の新しいビルを建設したことが2007年初めのパブリックソースから確認できる。そのビルは61398部センタービルディングとして言及されている。12階建で、13万663平方メートルのスペースがあり、約2000人規模のオフィスが入るビルと我々は評価している。

61398部は上海の浦东新区の高桥镇の大同路に位置するインフラと物理的に結びついている。これらインフラは、高桥镇や上海の他の地域にあるゲストハウスと同じように、物流や外来医院、幼稚園を含めてその部隊をサポートしている。これら設備は大きな軍部隊あるいはその上層部と大抵、結びついている。こうした近接の設備のサポートによって、62398部は人民解放軍の組織的ヒエラルキーにおいて高い位置についている。

人民解放軍61398部隊は国営企業、チャイナテレコムのコンピューターネットワークオペ―レ―ションインフラを使用している
マンディアントは61398部が使用しているインフラについて、詳しく記述しているチャイナテレコムのオンラインの内部文書を見つけた。そのメモは、チャイナテレコムの幹部が、国防を優先するために光ファイバー網を61398部に提供することを決心したことを明らかにしている。その文書は、光ファイバー網の61398部への貸与は、同社の一般的なレンタルとは異なる特別な配慮であると指摘している。加えてそのメモは、61398部が参謀部第3部2局であることも明らかにしている。そのメモは、61398部が参謀部第3部2局と同一であることを明らかにしていることにとどまらず、61398部と中国国家の息のかかった企業との関係についても明らかにしている。

APT1:サイバースパイ活動の年月
我々の証拠は、APT1が2006年から様々な産業分野にわたり少なくとも141の組織から数百テラバイトのデータを盗んでいることを示している。APT1は数十もの組織を同時に標的にしている。一度、ネットワークへのアクセスが確立されると、彼らは何カ月あるいは何年にもわたってアクセスし続け、膨大な量の知的財産を盗む。それらの中には、技術的な設計図、製造プロセス、試験結果、ビジネスプラン、価格設定文書、提携文書、メール、上層部からのコンタクトリストなどが含まれる。我々は、我々が監視しているAPT1の活動は、氷山の一角だと確信している。APT1は、アクセスが確立されたネットワークに対して平均356日間アクセスし続ける。最も長いケースで1764日、4年10カ月。この期間、APT1が日々活動を継続していたわけではない。しかし、APT1がそのネットワークにアクセスしている期間、APT1は常にデータにコミットし続けていた。

APT1のジオグラフィックと産業的視点
APT1がターゲットにしている組織は、英語で運営されているが、我々はわずかながら英語以外の言語を使用しているターゲットも確認している。APT1の犠牲者の87%が、英語圏に本社・本部機能を有している。アメリカに本社・本部機能を置いているものが115、カナダとイギリスで合わせて7。残り19のうち17は運営上の主要な言語に英語を使っている。これらは国際的な企業や開発代理店、外国政府が含まれている。残りの2つの犠牲者は英語以外の言語を使用している。英語を使用していない残り2つは、APT1の通常任務以外の例外的な事案であると考えられる。APT1は様々な産業分野の何十という組織から横断的かつ同時に情報を窃取する意図と能力を実証した。APT1のターゲットは明らかに海外にあり、産業システムをターゲットにしているのではなく、継続的に広範囲の産業から情報を搾取することを狙っている。我々が確認した標的の数は氷山の一角と考えられるので、APT1のターゲットはより広範囲な産業分野にわたっているものと考えられる。

APT1の活動は、重要な個人的、技術的な資源を標的にしていることを示唆している。2011年の初頭、APT1は10の産業分野で17の新しいターゲットを得た。我々は、ターゲットにしたネットワークにAPT1は平均して1年近く攻撃を継続すると見ているので、それ以前の標的からの情報搾取を継続しながら、新しい17のターゲットにコミットしたものと推測している。中国の戦略に関連した産業分野の企業がAPT1のサイバースパイ活動の標的になっていると我々は考えている。中国が第12次5カ年計画で戦略的な新興産業と位置づけている7分野のうち少なくとも4分野についてAPT1は標的にしていると我々はこれまでの観察から確信をしている。

■APT1データ窃取
APT1は、標的から幅広く情報を盗んでいる。盗まれている情報のタイプは以下。
・製品開発と使用、試験結果情報を含む、システムデザイン、製品マニュアル、パーツリストと類似の技術。
・製造手順、独自の過程や標準過程、廃棄物管理の説明書類。
・ビジネス計画、契約交渉の情報、製品価格、法的イベント、合併、ジョイントベンチャー、買収。
・政策的位置づけや分析、白書や幹部会議の議題や議事録。
・幹部のメール。
・ユーザー資格情報やネットワークア―キテクチャ―インフォメーション。
以下の理由からAPT1がどのくらいの量のデータを盗んでいるのかを推定することは難しい。
・APT1は、情報を盗んだ後、痕跡を残さないために圧縮したアーカイブを消去してしまう。
・既存のネットワークセキュリティのモニタリングがまれにデータ窃盗を識別して記録する。
・データ窃盗とマンディアントの調査の持続時間が、しばしば非常に大きく、窃取の痕跡が通常のビジネスの間に上書きされて しまう。
・多くの犠牲者は、セキュリティを突破されるインパクトを理解して調査することよりも、彼らのネットワークセキュリティを 復元することに資金を割り当てることに熱心。

これら課題がある中で、我々はAPT1が10カ月にわたり1つの組織から6.5テラバイトの圧縮されたデータを盗んだことを観察した。APT1はおそらくターゲットから数百テラバイトを盗んでいる。我々は、APT1が盗んだ情報をだれに送っているのか、あるいはこのような膨大なデータを受信者はどのように受け取っているのかについて直接的な証拠を示すことはできないが、盗まれた情報は明らかに中国や中国国営企業を有利にするものであることは明らかだ。例えば2008年、APT1はある卸売業の会社のシステムに侵入した。APT1は、圧縮したファイルを作るツールをインストールし、メールや添付ファイルを書き出した。2年半以上にわたり、APT1は犠牲者から無数のファイルを盗み、CEOや顧問弁護士を含む複数の役員のメールアカウントに繰り返しアクセスした。同じ時期、APT1のターゲットになっていた企業の主要な商品に関して、中国がその企業から販売価格を引き下げる交渉に成功したと主要な報道機関は伝えた。これは偶然かもしれない。しかし、継続して行われているサイバースパイ活動と情報窃取が、情報を窃取している相手との交渉に利用されないのであれば、それは逆に驚くべきことだ。

■ニュースにおけるAPT1
ニュースレポートは、APT1のサイバースパイ活動についての我々の観察に確証を与え、より広がりのあるものにする。しかしながら、いくつかのファクターはAPT1のニュースを複雑なものにしている。その一つは、情報セキュリティのリサーチャーやジャーナリストがさまざまな名称でAPT1に言及していることだ。加えて多くのサイバーセキュリティアナリストは、さまざまな中国の標的型攻撃のグループについて、相違を認識することなくそれらグループでシェアされているツールについて記述している。

ニュースレポートで指摘されている脅威のグループと我々がAPT1と認識しているグループが同一であることをリサーチャーにアシストするためにメディアにしばしば登場する標的型攻撃グループのニックネームとそれらがAPT1であるのか、そうでないかを示したリストを作成した。

Comment Crew APT1
Comment Group APT1
Shady Rat APT1の可能性
Nitro Attacks APT1ではない。
Elderwood APT1ではない。
Sykipot APT1ではない。
Aurora APT1ではない。
Night Dragon APT1ではない。

・APT1のインフラについて早い段階で知られているレポートは、2006年に発行されたシマンテックの日本語版だ。そのレポートが呼ぶホストネーム、sb.hugesoft.orgは、Ugly Gorillaとして知られるAPT1ペルソナに登録されている。
・2012年9月、Krebs on Securityスピアフィッシングの報告書を発行した。その中でAlien Vaultは連携したマルウェアについての分析を行った。そのレポートで指摘されたインジケータは、APT1インフラの一部に属している。
・2012年11月、ブルームバーグのChole WhiteakerはComment Groupと呼ばれる中国の脅威グループについて著した。そこに記載されているさまざまなツールやドメインは、APT1のペルソナ、Ugly Gorillaによって使われているものだ。

APT1:攻撃のライフサイクル
APT1は大規模な知的財産を盗むために、何年にもわたって磨き上げられデザインされた明確に定義された攻撃手法を有している。彼らはソーシャルエンジニアリングメールで許容されるスラングを含む良い英語を使っている。彼らは、彼ら自身のソフトウェアをアップグレードすることで、7年間以上にわたり彼らのデジタルウェポンを進化させてきた。これらの攻撃は、マンディアントのアタックライフサイクルモデルのフレームワークとしてこのセクションで述べた1つのサイクルパターンで収束する。それぞれの段階で攻撃のスケールや粘り強さをあらわしているAPT1の特殊なテクニックについて議論している。(付録Bを参照)

■ザ・イニシャル・コンプロマイズ
ザ・イニシャル・コンプロマイズは、ターゲットにした組織のネットワークに最初に侵入する際の手法のことです。多くの標的型攻撃がそうであるように、APT1においてもスピアフィッシングが一般に使われます。スピアフィッシングメールには悪意のあるファイルが添付されていたり、悪意のあるファイルへのリンクが埋め込まれています。メールの件名や文章にはメールの受信者に関連のあるものが使われます。APT1はまた、実在する人物―受信者の家族や同僚、会社の上司、IT部門の従業員、会社の弁護士―の名前でウェブメールアカウントを取得し、それらのアカウントでメールを送ります。。ちょっと見たところ、このメールはマンディアントのCEO、ケビィン マンディアからのメールのようです。しかし、精査してみると、このメールはマンディアントのメールアカウントからではなくkevin.mandia@rocketmail.comから送られていることがわかります。kevin.mandia@rocketmail.comはマンディア氏のメールアカウントではありません。APT1の行為者は、スピアフィッシングのためにこのアカウントを取得したのです。もし、だれかがそのリンクをクリックしたら(幸い、だれもそうはしませんでしたが)、コンピュータにInternal_
Discussion_Press_Release_In_Next_Week8.zipと名付けられている悪意のあるZIPがダウンロードされました。このファイルは、我々がWEBC2-TABLEと呼ぶAPT1のバックドアをインストールする悪意のある実行ファイルを含んでいます。APT1の行為者がスピアフィッシングメールで誘導するファイルは常にZIPフォーマットというわけではないけれど、過去数年間にわたり我々が観察したものはZIPファイルが主要な傾向にあります。APT1が悪意のあるZIPファイルとして使うファイル名には以下のようなものがあります。
2012ChinaUSAviationSymposium.zip

Employee-Benefit-and-Overhead-Adjustment-Keys.zip

MARKET-COMMENT-Europe-Ends-Sharply-Lower-On-Data-Yields-Jump.zip

Negative_Reports_Of_Turkey.zip

New_Technology_For_FPGA_And_Its_Developing_Trend.zip

North_Korean_launch.zip

Oil-Field-Services-Analysis-And-Outlook.zip

POWER_GEN_2012.zip

Proactive_Investors_One2One_Energy_Investor_Forum.zip

Social-Security-Reform.zip

South_China_Sea_Security_Assessment_Report.zip

Telephonics_Supplier_Manual_v3.zip

The_Latest_Syria_Security_Assessment_Report.zip

Updated_Office_Contact_v1.zip

Updated_Office_Contact_v2.zip

Welfare_Reform_and_Benefits_Development_Plan.zip

軍事、経済、外交を含む名前はAPT1が攻撃する幅広い分野に見られます。いくつかの名前は汎用され、多くの産業分湯でその攻撃に使われています。いくつかのケースにおいて、返信があることから、彼らはコミュニケーションをしているものと考えられます。あるケースで、「合法的かどうかわからないので私は(ファイルを)開かなかった」と返事をしたところ、APT1のだれかから20分以内に「それは合法です」という簡潔な返信がありました。

あなたはこれをクリックしますか?

APTの攻撃の中には、アドビPDFに偽装したZIPファイルにマルウェアを添付したものがあります。これはPDFファイルではありません。PDFの拡張子とするファイル名に見えますが、.pdfのあとに119のスペースがあり、その後に.exeが続きます。それが本当の拡張子です。彼らは、彼らの策略を完璧にするためにアドビのシンボルであるアイコンを利用します。しかし、実際にはこのファイルは、我々がWEBC2-QBPと呼ぶAPTバックドアのドラッパーです。

■フースホールドエスタブリッシング
これは、標的としたネットワークに外部からのコントロールを確保する行為を含みます。APT1はメール受信者が悪意のあるファイルを開き、バックドがインストールされて確立されます。バックドアは、侵入者がコマンドを送信して遠隔操作を可能にするソフトウェアです。ほとんどのケースにおいて、APTバックドアは侵入者のコマンド&コントロールサーバーへの接続を開始します。APTの攻撃者は一般的にこの戦術を使います。なぜならファイアウオールはネットワークの外から内部システムにアクセスすることを遮断することにはたけていますが、マルウェアがシステム内部から外部にアクセスすることには十分な対応がはかれないからです。

APT1の侵入者はたまにPoison IvyやGhOst RATのような一般に出回っているバックドアを使いますが、ほとんどの場合、彼らは彼ら自身がカスタマイズしたバックドアとして表示します。我々はAPT1が使っている、我々が一般に使われていないと考えているAppendix C: The Malware Arsenalのバックドアにおいて42のファミリーを記録しています。加えて、APT1のマルウェアに関連している1007のMD5 hashesを確認している。我々は、APT1のバックドアには足がかりを作るバックドアと標準的なバックドアの2つのカテゴリーがあると考えます。

■ビーチヘッドバックドア(足がかりとなるバックドア)
ビーチヘッドバックドアは最小限の機能を備えたバックドアです。それは、攻撃者に、ファイルを取得したり、基本的なシステムの情報を集めたり、標準的なバックドアのようなさらに重要な機能を実行するための引き金を備えるようなシンプルな任務を行うための足がかりを提供します。APT1のビーチヘッドバックドアは、一般的に我々がWEBC2バックドアと呼んでいるものです。WEBC2バックドアは、APT1のバックドアの中でも多分、もっともよく知られています。そして、そのことは、いくつかのセキュリティカンパニーがAPT1をComment Crewとして言及する理由になっています。WEBC2バックドアは、C&Cサーバーからあるウェブページを検索するようにデザインされています。そのウェブページは特殊なHTMLタグを含んでおり、そのバックドアはコマンドとしてそのタグの間のデータを解釈しようと試みます。WEBC2の変異体がタグの他と異なるタイプの間にあるデータを読むように改良されてからかなり時間が経っていますが、WEBC2の古いバージョンはHTMLコメントの間のデータを読んでいました。我々は、APT1は2006年7月に早くもWEBC2バックドアを使用していたと確信しています。しかし、WEBC2-KT3は2004年1月23日に最初にコンバイルされています。このことは、APT1がWEBC2バックドアを2004年の初頭より細工をしていることを示唆しています。我々が蓄積した400以上ものWEBC2変異体のサンプルから、APT1は6年以上にわたり、新しいWEBC2変異体をリリースし続けている開発者に直接、接触していることは明らかです。

ビルドパスは、そのプログラマーが彼のソースコードを構築しコンパイルしたディレクトリーに開示されています。2年半経ってコンパイルされたこれらのサンプルは、work/code/…/myworkという名前のフォルダーにコンパイルされていました。“work“のインスタンスは、WEBC2の動きがサイドプロジェクトや趣味ではなく、何者かが仕事として行っていることを示唆しています。さらに、サンプルAは、2012-2-23の文字列を含んでおり、それはサンプルAがコンパイルされた日付けと一致しています。サンプルBは2012-2-23の文字列はありませんが、2009-8-7の文字列を含んでいます。それはサンプルBのコンパイルされた日と一致します。このことは、サンプルAは2年半前にコンパイルされたサンプルBのコードを変更したものがサンプルAのコードであることを示唆しています。2008-7-8の存在は、サンプルBが作られた1年前の2008年7月に存在していたバージョンを修正して作られたものが2つのサンプルであることを示唆しています。これらのデータはWEBC2バックドアが開発、変更されながら長期間、繰り返し使われてきたことを示唆しています。WEBC2バックドアは、APT1攻撃者が、相手のシステムに以下の内容を含む短い、基本的な指令をセットすることを可能にします。

・対話式のコマンドシェルを開く

・ファイルをダウンロードして実行する。

・指定された時間までスリープにする。

WEBC2バックドアはしばしばスピアフィッシングメールにパッケージされています。ひとたびインストールされると、APT1攻撃者が、さらなるマルウェアを犠牲者のシステムにダウンロードして実行することが可能になります。WEBC2バックドアは、意図された目的のためだけに働きます。WEBC2バックドアは以下に述べるスタンダードバックドアよりも少ないのが一般的です。

■スタンダードバックドア
WEBC2バックドアではないスタンダードバックドアは、HTTPプロトコルあるいはマルウェアの著作者がデザインしたカスタムプロトコルを使って通信します。これらのバックドアは、APT侵入者に犠牲者のシステムをコントロールするための以下の内容を含む機能を与えます。

・プログラムの作成、修正、削除、実行

・ディレクションの作成と削除

・ファイルのアップロードとダウンロード

・プロセスのリスト、スタート、ストップ

・システムレジストリの修正

・デスクトップのスクリーンショットをとる

・キーストロークのキャプチャ

・マウスの動きをキャプチャ

・インタラクティブコマンドシェルをスタートさせる

・リモートデスクトップインターフェイスを作る

・パスワードを盗む

・ユーザーを列挙する

・ネットワーク上の他のシステムを列挙する

・指定された時間までスリープにする

・ログオフにする

・システムをシャットダウンする

コマンド“bdkzt“からそう呼ばれているBISCUITバックドアの指令の実例を下記に示しました。APT1は2007年初頭からBISCUITを使い、修正し現在も使い続けています。

bdkzt コマンドシェルを発射

ckzjqk システム情報を得る

download〈file〉C2サーバーからファイルを変換する

exe〈file〉〈user〉特定ユーザーとしてプログラムを発射

exit コネクションとスリープを閉じる

lists〈type〉ウィンドウズネットワークのサーバーを列挙

ljc 動いているプロセスとそれらの所有者を列挙

ajc〈PID〉!〈NAME〉IDか名前のいずれかでプロセスを終了

upload〈file〉C2サーバーにファイルを送る

zxdosml〈input〉(bdkztを発射した後)コマンドシェルプロセスの入力を送 信する

これらの機能はほとんどのバックドアの機能と同じものです。

■秘密の通信
いくつかのAPTバックドアは、HTTPプロトコル以外の正当なインターネットトラフィックを真似ることを試みます。

【正当なコミュニケーションプロトコルを真似ているバックドア】

(バックドア)(模倣したプロトコル)

MACROMAIL MSN Messenger

GLOOXMAIL Jabber/XMPP

CALENDAR Gmail Calendar

ネットワーク防御者がC2サーバーとバックドアとの通信を認識すると、彼らは正当なネットワークトラフィックを遮断しようとしてます。加えてAPT1のバックドアは暗号化されており、その結果、通信は暗号化されたSSLのトンネルの中で隠れて行われています。付録FにAPT1のパブリックSSL証明書を示しました。

■権限昇格
ユーザーネームやパスワードを得ることで権限を昇格しネットワークの中のさらなる情報にアクセスすることが可能になる。APT1は、この段階、そして次の段階において、一般的な標的型攻撃者あるいは侵入者とは異なっている。APT1は、正当なユーザーの情報を得るためにターゲットのシステムからパスワードハッシュをダンプする一般に使用されているツールを利用します。APT1が利用している権限昇格ツールは以下です。

CATCHAUMP このプログラムはシステムレジストリーからパスワードハッシュをキャッチします。
fgdumpt ウィンドウズ・パスワード・ハッシュ・ダンパー
gsecdump SAMファイルを含むウィンドウズレジストリーからパスワードハッシュを得て、ドメイン情報とLSA secretsをキャッチする
IsIsass Isassプロセスから有効化されたログオンセッションパスワードをダンプする。
mimikatz パスワードハッシュをダンプするために主に使われる。
pass-the-hash toolkit パスワードを知らずにシステムにログインするためのパスワードハッシュを侵入者のためにパスする。
pwdump7 ウィンドウズレジストリーからパスワードハッシュをダンプする。
pwdpumpX ウィンドウズレジストリーからパスワードハッシュをダンプする。

パスワードハッシュとは何か?
パスワードが必要なコンピュータやウェブサイト、メール、他の多くのネットワークにログインする時、パスワードで検証される必要があります。その手法の一つは、システム上に蓄積されているパスワードと打ち込まれたパスワードを比較することです。しかし、この方法はあまり安全ではありません。同じシステムにアクセスできるだれもがその人のパスワードを見ることができます。かわりに、パスワード検証システムはパスワードハッシュを保存します。簡単に言えば、パスワードハッシュは、数学的に人のパスワードから生成された番号です。パスワードハッシュを生成するために使用される数学的方法(アルゴリズム)は、すべて実用的な目的のためのユニークな値を作成します。人がパスワードを打ち込むと、コンピュータはタイプされたパスワードのハッシュを作成し、蓄積されているハッシュと比較します。もし、それらがマッチすれば、ログインが許されます。

オリジナルなパスワードを得るためにハッシュを“リバース”することは不可能だと想定されます。しかし、オリジナルなパスワードを発見するためにパスワードハッシュを壊すことは可能です。侵入者はハッシュをそのまま使用するか、ユーザーを発見するためにそれらを壊しすかして、犠牲者のシステムからパスワードハッシュを盗む。

内部偵察
内部偵察の段階では、侵入者は犠牲者の環境について情報を収集する。ほとんどの標的型攻撃(それ以外の攻撃でも)において侵入者がそうするように、APT1は、感染したシステムとネットワークの環境を探るために組み込みオペレーティングシステムのコマンドを優先的に使用します。彼らはいつもコマンドシェルの中のコマンドをタイプするけれども、時々、侵入者たちはその過程をスピードアップするためにパッチスクリプトを使うかもしれない。

■APT1のインフラ
APT1は、世界中のコンピュータインフラを確保しています。我々は、APT1が彼らの攻撃をサポートする何千というシステムをコントロールしていることを示唆する証拠を得ており、そのうちの何百かのシステムについては実際に彼らのコントロールを監視しています。彼らは何十もの国のシステムをコントロールしているけれど、彼らの攻撃の元は、上海にある4つのネットワークに由来しています。上海の4つのネットワークのうち2つは浦東新区に直接、割り当てられています。浦東新区は61398部の拠点です。APT1のIPアドレスの多くが上海に集中しており、APT1が攻撃をするシステムのキーボードは中国語(簡体字)です。膨大なシステムを管理するためにAPT1は何百というドメインネームを登録しており、その多くは上海ローカルを指しています。ドメインネームやIPアドレスは同時に、彼らの標的から攻撃元をカムフラージュするAPT1のコマンドコントロールフレームネットワークを含みます。

APT1ネットワークの起源
我々はしばしば、中国のIPアドレスからの接続をブロックする有効なセキュリティ対策がなぜないのか尋ねられます。その理由を簡単に言えば、APT1の攻撃者は、上海の彼らのシステムから直接、ターゲットに接続することはほとんどなく、中間のシステムを通してホップして攻撃を行うからです。彼らの図り知れないインフラを使えば、犠牲者からは様々な国から攻撃がされているように見えます。ネットワークをリダイレクションするこのようなタイプのシステムは、「ホップポインツ」あるいは「ホップス」と呼ばれています。ホップポインツは、APT1がしばしば使うお約束の手法で、彼らのシステムの所有者をカモフラージュして、何年間も攻撃をし続けます。

我々は、アメリカをクロスした後のAPT1の行動のいくつかについて監視をしています。彼はは様々なテクニックを使ってホットポインツにアクセスします。その最も主要なものはリモートデスクトップとFTPです。2011年1月から2013年1月までの2年間に、我々は、リモートデスクトップを使って832の異なるIPアドレスで彼らのホップインフラにログインしているAPT1の1905のインスタンスを確認しています。リモートデスクトップは、システムにインタラクティブなグラフィックインターフェースをリモートユーザーに提供します。その感覚は、実際にユーザーがそのシステムにおり、デスクトップやキーボード、マウスを使っているのと同じです。832のIPアドレスのうち98,2%に当たる817は中国であり、我々がAPT1のホームネットワークと呼んでいる上海にある4つの巨大ネット地区に主に属しています。

2つのネットブロックの登録情報には下記の内容が含まれています。
person: yanling ruan

nic-hdl: YR194-AP

e-mail: sh-ipmaster@chinaunicom.cn

address: No.900,Pudong Avenue,ShangHai,China

phone: +086-021-61201616

fax-no: +086-021-61201616

country: cn

これら2つのネットブロックの登録情報は、彼らが人民解放軍61398部のある上海の浦東地区から発信していることを示唆しています。832IPアドレスの他の15は、合衆国に12、台湾に1、日本に1、韓国に1登録されています。これらシステムのいくつかはAPT1のホップインフラの役割を担っており、APT1とは異なるワードで所有されています。APT1は、上海から直接、ホップするのではなく、他のホップから別のホップにアクセスします。

可能な限りシームレスとするために、リモートデスクトッププロトコルはクライアントアプリケーションに、彼らのクライアントホストネームやクライアントキーボードレイアウトを含むいくつもの重要な詳細をサーバーに要求します。我々が過去2年間に観察したAPT1リモートデスクトップセッションの1905の97%に当たる1849は、キーボードレイアウトが中国語(簡体)-USにセットされていました。マイクロソフトリモートデスクトップはクライアントシステムで選択されている言語を自動的に選択する設定となっており、APT1のホップインストラクチャーは簡体中国語(zh-ch)に設定されているものと考えられます。簡体中国語は1950年以来使われているもので、伝統的な中国語を合理化したものであり、中国本土が起源です。台湾や香港のような市町村では伝統的な中国語(zh-tw)言語が設定されています。上海のIPアドレス、簡体字の中国語が使用されているということは、APT1は上海の巨大ネットワークにアクセスしている中国本土の人間であることを指しています。

■バックドアの相互作用
これまで言及したように、典型的なAPT1の攻撃者たちは、ホップスに接続して犠牲者のシステムをコントロールします。犠牲者のバックドアは定期的にホップポイントに接続し、司令があるのを待ちます。しかしながら、その動作はしばしば特殊であり、彼らが使っているツールが特殊であることを示唆しています。

■マニュアルWEBC2 アップデート
WEB2バックドアの変異体がダウンロードされ、HTMLのページのタグ間に流し込んだデータを受け取ります。かれらは常にAPT1のホップインフラのシステムからHTMLページをダウンロードします。我々はWEBC2サーバーにログインし、バックドアがダウンロードしたHTMLが書き換えられるのを観察しています。コマンドは常に記号化され、メモリーからスペルすることが難しいため、典型的なAPT1侵入者はこれらをタイプせず、代わりにHTMLファイルからそれらをコピー&テイストします。彼らは、ホットポイントによってホストされているHTMLファイルの中にそれらをペイストする前に、自身のシステムに記号化した司令を出します。例えば、我々はAPT1攻撃者がHTMLページに“czo1NA==”という文字列をペーストするのを観察しました。その文字列は、54分間スリープを意味しています。ホットポイントのHTMLファイルを書き換える代わりに、新しいHTMLファイルをアップロードするケースもあります。

■HTRAN
APT1攻撃者がWEBC2を使わない場合、彼らは彼らがバックドアに司令を送ることができるC&Cサーバーを使います。このインターフェイスはしばしば上海にある彼らの個人的な攻撃システムで動きます。これら実体において、犠牲者のバックドアがあるホップとコンタクトした時、そのコミュニケーションはホップから侵入者の上海のシステムに転送される必要があります。そしてバックドアはC&Cサーバーソフトウェアと話しをすることができます。我々は、一般的なHUCパケットトランスミットツール、あるいはHTRNを使ったホップ上でAPT1攻撃者の767の個別のインスタンスを観察しました。常に記しているように確認されたことは、APT1の全体の活動の一部にしかすぎません。

HTRNはホットポイントを使っている攻撃者と犠牲者との間の接続を容易にする仲介者の役割です。典型的なHTRANを使うのは簡単です。攻撃者は、(上海にある彼、彼女のワークステーションの)オリジナルIPアドレスを特定し、接続を受け入れるポートにしなければならない。例えば、APT1の行為者によって発行された以下のコマンドは、ホップ上のポート443に接続し、ポート443上の上海IPアドレス58,247.242.254が自動的にプロキシィするために待機します。
htran -tran 443 58.247.242.254 443
HTRANの使用が観察された767において、APT1の攻撃者は614のIPアドレスを供給しています。一方で彼らは犠牲者のシステムと614の異なるアドレスの間で彼らのホップへの仲介機能を使っています。これら614アドレスのうち613アドレスがAPT1のホームネットワークに属します。

素性
■ハッカープロフィール:Ugly Gorilla(Wang Dong/汪东)
Ugly Gorrillaのストーリーは2004年にまで遡ります。大学教授で元海軍少将のZhang Zhaozhong(张召忠)は、中国のサイバー戦略に重要な役割を果たしてきた人物です。Zhang教授は、軍の情報化を提唱し、ネットワーク戦争(网络战争)や情報戦に勝つ(打赢信息化战争)を含む軍事戦略についての著書を出版しています。中国国防大学の軍事技術と装備部門の指揮者として、Zhang教授は2004年1月に開かれたアウトルック2004;国際戦略情勢と名付けられたイベントに参加しています。解放军报中国军网にホストされている質疑応答のオンラインセッションで、緑野のニックネームのある人物が質問をポストしました。

Zhang教授、私はあなたの著書「Network Warfare」を読み、共感を覚えました。本の中で、サイバー軍との言及でアメリカのネットワークフォースについて指摘されていますが、中国において同様の部隊はありますか?中国にサイバー部隊がありますか?

中国軍オンラインのユーザーすべてがそうするように、緑野はメールアドレスと本人の情報を要求され、有り難いことにネットに記録されたデータが我々にそのプロフィールを明らかにしてくれました。そして、我々がUglyGorillaと呼ぶその人物は、最初に記されていました。メールアドレスに加え、UGはJackWangという実名でリスト化されていました。

2004年10月25日、UGは今や悪名高い“hugessoft.org”に登録しました。“hugessoft.org”やAPT1が帰属するホストネームの多くはUGの所有のもとにあり、今も活動を継続しています。UGはこの報告書を見て、我々の追跡をかわす努力とともに、これらホストを放棄するかもしれません。これら登録情報は2012年10月にアップデートされ、登録期間は2013年まで延長されています。

2007年にUGはマルウェアのMANITSMEファミリーとして知られる最初のサンプルをオーサリングしました。そのコードには彼のシグネチャー、v1,0 No Doubt toHack You,Writed by UglyGorilla,06/29/2007が記されています。UGは、ホストネームや自身のバックドアで使っているコミュニケーションプロトコルにおいてさえ、その中に自身のサインを残す傾向があります。例えばarrowservice.netやmsnhome.orgといったAPT1が帰属している絶対ドメイン名のホストネームには、ug-opm_hugesoft.orgやug-rj.arrowservice.net、ug-hst.msnhome.orgのようにugが記されています。これらリンクは次第に先細っているけれど、MANITSME やWEBC2-UGXのような彼のツールのプロトコルサインは、上海の外にあるAPT1攻撃者たちによって使われ続けています。

様々なウェブアカウントに渡るユーザーネーム「Ugly Gorilla」を示すUgは、薄れてきているけれど、多くのオンラインコミュニティでの脅威の影響は強まっています。ほとんどの場合、ハッキングツールのようなコンテンツ、セキュリティトピックの情報、上海ローカルの共同体。例えば、2011年2月にアノニマスによって公開されたrootkit.comのアカウントの中には、uglygorilla@163.comで登録しているユーザー、uglygorillaが含まれていました。これは、2004年のPLAフォーラム、hugesoft.orgに登録されているメールアドレスと同じアドレスです。リークされたrootkit.comの情報の中には、ipアドレス58.246.255.28があり、それは、以前述べたAPT1ホームレンジ58.246.0.0/15.からUGが直接、登録したことを示しています。これらアカウントのいくつかには、UGはJackWangとは別の、彼の真の名前がリストされています。2006年2月2日には、ユーザーネームuglygorillaは、mailbomb_1.08.zipと名付けられたファイルを中国のディベロッパーサイト、www.pudn.comにアップロードしました。PUDNからの彼のアカウントの詳細には、真の名前Wang Dong(汪东)が含まれていました。

返信を残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください