サイバーセキュリティ大手Mandiant(マンディアント)によると、金銭的動機に基づく活動と並行してスパイ活動を行うことで知られる、活発な中国のハッキンググループ「APT41」が、米国の複数の州政府のネットワークに侵入した。
このグループは、2020年にAPT41のメンバー5人が米国で起訴されたことにもめげず、少なくとも米国6州のネットワークを標的にして数カ月にわたる活動を行い、侵入に成功した。これらの州にはMandiantから通知が送られたが、州名は明かされなかった。
2021年5月から2022年2月にかけてこのハッキンググループは、脆弱なインターネット向けウェブアプリケーションを利用して、州ネットワークへの最初の足がかりを得た。これには、18の州が動物の健康管理に使用しているUSAHerdsというソフトウェアアプリケーションのゼロデイ脆弱性や、ユビキタスJavaロギングライブラリであるApache Log4jの、現在有名になっているいわゆるLog4Shellの脆弱性の悪用が含まれていた。
Mandiantによると、APT41は2021年12月にApache Foundationがこの脆弱性について公に警鐘を鳴らしてから数時間でLog4Shellを悪用し始め、2州の政府ネットワークや保険・通信業界の他のターゲットが侵害されるに至った。ネットワークへの足がかりを得たAPT41は「大規模」なクレデンシャル収集を行った。
今回の調査ではまた、APT41が使用するさまざまな新しい技術、回避方法、能力も明らかにされた。ある事例では、APT41が独自ウェブアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後(この活動はMandiantによって阻止された)、2週間後に再び戻ってきて、まったく新しいゼロデイ・エクスプロイトでネットワークを再び侵害した。また、このグループは、マルウェアを被害者の環境に合わせ、特定のフォーラムの投稿で暗号化されたデータを頻繁に更新し、マルウェアが攻撃者のコマンド&コントロールサーバから指示を受けることができるようにしていた。
Mandiantは、ハッカーが個人を特定できる情報を流出させた証拠を確認したと述べたが、これは一般的にスパイ活動によくあることで、活動の目的は依然として不明だ。
Mandiantの主席脅威アナリストであるGeoff Ackerman(ジェフ・アッカーマン)氏は、ウクライナ侵攻を受けて世界がロシアのサイバー脅威の可能性に注目している一方で、今回の調査は、世界中の他の主要な脅威要因が通常通り活動を継続していることを思い出させるものだ、と述べた。
「特に、最も活発な脅威組織の1つであるAPT41の活動が今日まで続いているという我々の調査を踏まえると、他のサイバー活動を見過ごすことはできません」とアッカーマン氏は話した。「APT41はまさに持続的な脅威であり、直近の活動は、米国の州レベルのシステムがロシアだけでなく、中国などの国家支援ハッカーから容赦なく圧力を受けていることを改めて認識させるものです」。
画像クレジット:Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)