衛星や防衛産業を狙う中国のサイバースパイ、運用妨害狙う痕跡も

中国を拠点に攻撃を仕掛けている集団は、正規の管理ツールを使って狙ったシステムに侵入し、衛星などの運用妨害を狙った痕跡もあるという。

» 2018年06月21日 08時30分 公開
[鈴木聖子ITmedia]
photo 中国を拠点に攻撃を仕掛けている集団「Thrip」の説明(出典:Symantec)

 セキュリティ企業の米Symantecは6月20日、人工衛星や通信、防衛産業を標的とする、大規模なサイバースパイ攻撃を検出したと発表した。中国を拠点に攻撃を仕掛けている集団は、正規の管理ツールを使って狙ったシステムに侵入し、衛星などの運用妨害を狙った痕跡もあると解説している。

 Symantecのブログによると、東南アジアの大手通信会社で2018年1月に攻撃の兆候を発見。攻撃者はMicrosoftの正規ツール「PsExec」を悪用して、被害者のネットワークにマルウェアを感染させようとしていた。詳しく調べた結果、この攻撃にはSymantecが2013年から監視している「Thrip」という集団が関与していると判断した。

 このマルウェアに関する情報や、攻撃に使われた手口に関する情報をもとに、他の組織についても調べた結果、Thripが強力なマルウェアを使った大規模サイバースパイ活動を展開していることが分かったという。

 狙われていたのは主に米国と東南アジアの通信や地理空間画像、防衛関連企業で、衛星通信事業者に対する攻撃では、衛星のモニタ・管理用ソフトウェアが搭載されたコンピュータに、マルウェアを感染させようとしていたことが判明した。Thripはスパイ活動だけでなく、衛星などの運用妨害も狙っている可能性があるとSymantecは推測する。

 地理空間画像を手掛ける企業でも、「Google Earth Server」や画像ソフトウェアの「Garmin」を搭載したマシンが標的にされていたという。

 Thripは、Symantecが発見した2013年当時から、中国を拠点とするシステムを使ってスパイ活動を展開しており、今回の攻撃にも中国にあるコンピュータが使われていたことを突き止めたとしている。

 2017年以降は同集団が手口を変え、検出を免れる目的で、PsExecやPowerShellなどの正規ツールを使うようになったという。Symantecでは、人工知能(AI)と機械学習を使ってこうした標的型攻撃のパターンを見つけ出す「Targeted Attack Analytics(TAA)」によって、今回の攻撃を検出したとアピールしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ