衛星や防衛産業を狙う中国のサイバースパイ、運用妨害狙う痕跡も
中国を拠点に攻撃を仕掛けている集団は、正規の管理ツールを使って狙ったシステムに侵入し、衛星などの運用妨害を狙った痕跡もあるという。
セキュリティ企業の米Symantecは6月20日、人工衛星や通信、防衛産業を標的とする、大規模なサイバースパイ攻撃を検出したと発表した。中国を拠点に攻撃を仕掛けている集団は、正規の管理ツールを使って狙ったシステムに侵入し、衛星などの運用妨害を狙った痕跡もあると解説している。
Symantecのブログによると、東南アジアの大手通信会社で2018年1月に攻撃の兆候を発見。攻撃者はMicrosoftの正規ツール「PsExec」を悪用して、被害者のネットワークにマルウェアを感染させようとしていた。詳しく調べた結果、この攻撃にはSymantecが2013年から監視している「Thrip」という集団が関与していると判断した。
このマルウェアに関する情報や、攻撃に使われた手口に関する情報をもとに、他の組織についても調べた結果、Thripが強力なマルウェアを使った大規模サイバースパイ活動を展開していることが分かったという。
狙われていたのは主に米国と東南アジアの通信や地理空間画像、防衛関連企業で、衛星通信事業者に対する攻撃では、衛星のモニタ・管理用ソフトウェアが搭載されたコンピュータに、マルウェアを感染させようとしていたことが判明した。Thripはスパイ活動だけでなく、衛星などの運用妨害も狙っている可能性があるとSymantecは推測する。
地理空間画像を手掛ける企業でも、「Google Earth Server」や画像ソフトウェアの「Garmin」を搭載したマシンが標的にされていたという。
Thripは、Symantecが発見した2013年当時から、中国を拠点とするシステムを使ってスパイ活動を展開しており、今回の攻撃にも中国にあるコンピュータが使われていたことを突き止めたとしている。
2017年以降は同集団が手口を変え、検出を免れる目的で、PsExecやPowerShellなどの正規ツールを使うようになったという。Symantecでは、人工知能(AI)と機械学習を使ってこうした標的型攻撃のパターンを見つけ出す「Targeted Attack Analytics(TAA)」によって、今回の攻撃を検出したとアピールしている。
関連記事
- 地政学的な動きに翻弄されるサイバーセキュリティ
ロシアのセキュリティ企業Kaspersky Labの創立者兼CEO、ユージン・カスペルスキー氏が記者説明会を行い、昨今の脅威の動向に加え、米国政府の措置に対する見解などを語った。 - 激増するサイバースパイやランサムウェア、米機関も注意勧告
製造業や公共セクター、学術機関などがサイバースパイの被害に遭って調査研究内容などが流出。ランサムウェア攻撃は前年に比べて50%も増加した。 - 日本企業を狙う中国のサイバースパイ集団、知的財産や製品情報が被害に
Secureworksによると、「BRONZE BUTLER」と呼ばれるサイバースパイ集団は、日本語を使いこなし、日本企業がよく使うツールの未解決の脆弱性を突くなどの手口で機密情報を盗み出す。 - 軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公開
攻撃側は特段に高度な手口を使ったわけではなく、ただ周到な準備を行ったうえで、多大な忍耐力をもって侵入し、組織内で感染を広げていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.