
清華大学のインフラに端を発する中国のサイバースパイ活動

スコープノート: Recorded Future は、チベット人コミュニティを標的とした新しいマルウェアを分析し、その結果、マルウェアとそれに関連するインフラストラクチャを詳細に分析しました。情報源には、 Recorded Futureのプラットフォーム、VirusTotal、ReversingLabs、サードパーティのメタデータ、および DomainTools Iris や PassiveTotal などの一般的な OSINT およびネットワーク メタデータ エンリッチメントが含まれます。 この研究は、認識されている国内の脅威に対して中国国家が使用する高度な技術の幅広さに焦点を当てたシリーズの一部です。
Executive Summary
チベット人コミュニティを標的とした中国の RedAlphaキャンペーン を明らかにした調査の後、Recorded FutureのInsikt Groupは、同じチベットの被害者グループに対して展開された「ext4」と呼ばれる新しいLinuxバックドアを特定しました。 バックドアを分析した結果、中国のエリート学術機関である清華大学に登録 されたインフラストラクチャから発せられる、侵害された同じCentOS Webサーバーへの接続が繰り返し試みられていることを発見しました。
また、アラスカ州政府、アラスカ州天然資源省、ナイロビの国連事務所、ケニア港湾局など、多くの地政組織を対象とした同じ清華大学のインフラストラクチャからネットワーク偵察活動が行われていることも確認しました。 さらに、ドイツの自動車多国籍企業であるダイムラーAGが、米国と中国の間の貿易摩擦の高まりを理由に、その年の利益見通しを下方修正した翌日に開始されたターゲットスキャンを特定しました。 いくつかのケースでは、これらの活動は、これらの国や組織との経済協力のための中国の対話の期間中に行われました。
私たちが発見したネットワーク偵察活動は、中国の経済発展目標を支援するために中国の国家支援を受けた関係者によって行われたと、中程度の信頼性で評価しています。
主な判断
- 清華IPアドレス166.111.8 [.]246は、中国の旗艦である一帯一路構想(BRI)に関する中国の外国インフラプロジェクトへの投資をめぐる経済対話や広報の時期に、アラスカ、ケニア、ブラジル、モンゴルの組織を対象としたネットワーク偵察に従事しました。
- アラスカの組織に対するネットワーク偵察活動は、5月下旬にアラスカ州知事が中国を訪問した貿易代表団の訪問を受けて増加した。 偵察活動の対象となった組織は、石油やガスなど、貿易交渉の中心にある産業にいた。
- ドイツの自動車多国籍企業ダイムラーAGが標的にされたのは、米中貿易摩擦の高まりを受けて利益警告を発表した翌日に行われた。
- 清華大学のIPは、米国を拠点とするホテルの高速インターネットポータルへの登録を少なくとも1回試みました。 これは、脆弱なWindWebサーバーを実行しているホスピタリティセクター内のNomadixインターネットゲートウェイを侵害する意図を示している可能性があると低い信頼性で評価しています。
- 清華社のIPは、チベットのネットワークとの接続を繰り返し試みましたが、高度に洗練されたバックドア「ext4」で侵害されました。
- 「ext4」は、1時間ごとに180秒のウィンドウ中にのみ、侵害されたネットワークへの着信TCP 443接続を許可し、パケットは正常に接続するためにTCPヘッダーオプションの一意の組み合わせを必要とします。 観測された20回以上の試みで、清華社のIPはバックドアをアクティブにするための正しいTCPオプションを送信しませんでした。 これにより、次のことが示唆されました。
- 清華社のIPから接続している脅威アクターは、正しい「ext4」バックドア接続シーケンスについて十分な情報を得ておらず、ミスを犯していました。
- チベットのネットワークを標的にしたことは、「ext4」バックドアの存在とは関連しておらず、このネットワークは、清華社IPによって行われている広範な地政学的および経済的なネットワーク偵察活動に沿って調査されていました。
背景
中華人民共和国(PRC)はチベットの主 権を主張 し、チベットの独立運動をすべて分離主義の脅威とみなしている。中国はチベット人コミュニティに対してさまざまな形態の威圧を行っているが、チベット人を標的とするサイバースパイ活動は、特に緊張が高まっている時期に頻繁に使用される手段となっている。GhostNetと呼ばれるチベットに対する中国のサイバースパイ活動の最初の既知のインシデントは、2008年に行われました。これは、国益の外国の標的を監視する広範な試みの一環でした。それ以来、数多くのサイバースパイ活動が記録されています キャンペーン Recorded Futureの最近の RedAlpha レポートなど、チベット人に対して記録されています。
清華大学は北京の海淀区にあります。「中国のMIT」と呼ばれるこの大学は、中国有数の技術研究大学です。中国の大学は、直接的および間接的に、中国の国家が後援するサイバー能力と結びついていることがよくあります。2015年にはAPT17インフラが 中国東南大学の教授に接続され、2017年には中国人民解放軍(PLA)が西 安交通大学と提携 してサイバー民兵プログラムを創設した。清華大学はそれ自体が国有の機関であり、世界 トップクラスの研究 および工学部の一つです。学生の攻撃的なサイバー能力は、清華大学所属の個人で構成されるセキュリティ研究チームであるBlue-Lotusを通じて最も有名です。チームは DEF CON の 2016 年キャプチャー・ザ・フラッグ・コンペティションで 2 位に入賞しました 。
清華大学の研究部門は、米国の技術を盗んだ歴史を持つ州機関ともつながりがある。清華大学科学研究開発室は、2018年5月に中国中信グループと会談し、共産党の会議活動について会談し、国の発展に奉仕するための企業と研究機関間の戦略的協力について話し合った。1999年の米国国家安全保障および中国との軍事/商業上の懸念に関する特別委員会(いわゆる「コックス報告書」)では、CITICは人民解放軍の秘密作戦と米国の機密技術の窃盗に関与していた。コックス報告書はまた、1990年にCITICが米国の輸出管理航空宇宙技術にアクセスするために、人民解放軍に代わって米国の航空機部品メーカーを買収しようとした試みにも言及している。さらに、CITICの元会長であるWang Zhenは、2,000丁の中国製AK-47アサルトライフルを米国に密輸しようとしたことに端を発した 1996年のPoly Technologiesの起訴 に関与していました。
清華大学情報システム工学研究所は、中国の国家863および973プログラムにも公然と提携しています。国家ハイテク開発計画としても知られる863プログラムは、中国の主要技術産業における国家能力の開発に焦点を当てています。一方、973プログラムは、1997年に最初に設立され、主要産業における技術的優位性を達成するために必要な基本技術の開発に焦点を当てています。どちらのプログラムも、プログラムの目標を達成するために中国が知的財産を盗みやすくなるという効果がありました。
過去10年間で、中国国家が支援するサイバー脅威アクターが、主要な戦略産業で科学的、技術的、経済的優位性を獲得するための中国の 政策指令 を直接反映した広範なサイバースパイ活動を行っていることが確認されています。この活動は、 マネージドITサービスプロバイダー を標的としたAPT10と、2017年に人気ソフトウェア製品CCleanerに対して大規模な サプライチェーン攻撃 を実施したAPT17による運用で観察できます。
チベットの抗議行動と相関した清華のIP活動の将来のタイムラインを記録しました。
脅威分析
Recorded Futureは、チベット人コミュニティを標的にした継続的な調査中に、「ext4」バックドアの存在を発見しました。 このバックドアは、CentOSを実行しているLinuxWebサーバー上で実行されるように構成されており、システムファイル内に埋め込むように密かに設計されていました。 バックドアは、TCPポート443で着信接続をアクティブにして受け入れる1時間ごとに3分間のウィンドウを除いて、ほとんど非アクティブでした。
合計で、 Recorded Futureの独自のカバレッジにより、2018年5月から6月の間に同じ侵害、ハッキングCentOSサーバーへの23回の接続の試みを観察することができました。 すべての試行は、同じ IP 166.111.8[.]246、中国教育研究ネットワークセンターに解決されました。WHOISの記録によると 、このIPは「清華大学」のアドレスに登録されている/16の広いCIDR範囲内にあることが明らかになりました。
以下のPCAPに示すように、Tsinghua IPからチベットネットワークに接続しようとするすべてのパケットで、TCPヘッダーのオプションが最大セグメントサイズ60バイトに設定されたことが観察されました。
清華IPから侵害されたチベットのCentOSサーバーへの接続試行のPCAP。
「ext4」コードは一意であるように見え、コードや名前の類似性についてオンラインで目立つ痕跡はありません。 私たちの提出物を除いて、2018年8月3日現在、主要なマルチスキャナーリポジトリで「ext4」の主要な特性に似たバックドアのアップロードは観察されていません。 VirusTotalの検出率が0/58であることから、発見された「ext4」サンプルは、チベット人コミュニティを標的とした新しいユニークなバックドアであることが確認されました。
「ext4」バイナリの詳細な分析は、このレポートの テクニカル分析 セクションにあります。
清華大学のIPアドレス 166.111.8[.]246
このIPは、2018年3月23日に Recorded Future で初めて観測され、いくつかのIPエンリッチメント情報源によると、中国教育研究ネットワークセンター(CERNET)に解決されました。 CERNET は、中国の6つの主要なバックボーンネットワークの1つであり、中国の学術および研究機関のために予約されたアドレス可能なIPスペースの広大な範囲にサービスを提供する包括的な組織です。前述のように、WHOISの記録では、IPが「清華大学」に登録されている範囲内にあることが確認されています。
利用可能なポートスキャンデータによると、このIPは現在、 PPTP (TCPポート1723)、 MySQL (3306)、 MAMP (8888)などのいくつかのアクティブに実行されているサービス、およびより一般的な OpenSSH (22)、 HTTP (80、8080、8008)、 SSL (443、8443、9443)、 VPN IKE (500)サービスで構成されています。HTTP ポートは、この IP から観察されたアクティビティの性質を考慮すると、おそらくリバース プロキシまたはロード バランサーとして NGINX Web サーバーとして構成されているようです。多数のオープンポートと関連サービスは、Tsinghua IP がインターネットゲートウェイまたは VPN エンドポイントである可能性があることを示しています。
清華IPの録音された未来インテリジェンスカード™ 166.111.8 [.]246.
IPのRecorded Futureの充実は、過去にスキャン、ブルートフォース攻撃、および積極的な悪用の試みの情報源であったことを示しています。これは、中国発の悪意のあるサイバー指標を追跡する台湾の台中市教育局によってフラグが立てられ、AlienVault のブラックリストに表示されるなど、いくつかのリスク ルールがトリガーされています。IP のメタデータ分析は、それがゲートウェイ、NAT、またはプロキシである可能性が高く、このアクティビティの真の発信元マシンがこの IP の背後にあることを示しています。
同じIPアドレスは、当時中国の国有企業との主要な貿易協議に関与していた組織の大規模なネットワーク偵察も行っていることが観察されました。 これらの偵察活動は、中国の戦略的および経済的利益と広く一致しているため、偶然ではないと考えています。
「オポチュニティ・アラスカ」
2018年4月6日から6月24日の間に、清華IPとアラスカのいくつかのネットワークとの間には、次のような100万を超えるIP接続が観測されました。
- アラスカ通信システムグループ
- アラスカ州天然資源局
- アラスカ・パワー・アンド・テレフォン・カンパニー
- アラスカ州政府
- TelAlaska (英語)
清華社のIPと上記の組織との間の膨大な数の接続は、アラスカのネットワーク上のポート22、53、80、139、443、769、および2816の一括スキャンに関連しており、脆弱性を確認し、不正なアクセスを取得するために行われた可能性があります。 スキャン活動は、上記のポートでプローブされた組織専用のIP範囲全体で体系的に実施されました。
アラスカ州政府に対するこの標的は、「オポチュニティ・アラスカ」と呼ばれるアラスカの中国への大規模な貿易使節団に続くものである。この貿易使節団は5月下旬に行われ、アラスカ州知事のビル・ウォーカーが率いていた。これらの会談では、 アラスカと中国間のガスパイプラインの見通しをめぐって、最も注目を集めた議論の1つが行われた。中米貿易戦争の懸念にもかかわらず、ウォーカー知事の事務所は、貿易使節団は「アラスカが提供する最高のもののいくつかを代表しており、...最大の貿易相手国との共通の利益の広範囲を浮き彫りにした。」オポチュニティ・アラスカは、漁業、観光、建築、投資業界のアラスカ企業の代表者で構成され、北京、上海、成都に立ち寄りました。
2018年5月にアラスカの中国貿易代表団が同時期にアラスカの機関を対象にTsinghua IPが実施したネットワーク調査イベント。
Recorded Futureは、ウォーカー知事が中国への貿易代表団を発表してからわずか数週間後の3月下旬に、アラスカのネットワークに対するスキャン活動を初めて観測しました。 この活動は、2018年5月20日に代表団が到着する数日前から再開され、代表団が到着すると中断されました。 アラスカのネットワークの調査は、代表団が活動を終了した5月28日まで低水準にとどまり、その後、代表団が中国を離れるにつれて大幅に増加した。 関連トピックに関する貿易議論の終了時にスキャン活動が急増したことは、この活動が、旅行に対するアラスカの視点と訪問後の交渉における戦略的優位性についての洞察を得る試みであった可能性が高いことを示しています。
6月20日から6月24日にかけて、アラスカ州とアラスカ州天然資源局のネットワークに対する関心がさらに高まった。これはおそらく、 ウォーカー知 事が6月19日にワシントンD.C.を訪問し、米国と中国の当局者と会い、両国間の貿易紛争の拡大に対する懸念を表明する意向を発表したことへの対応だったのだろう。
「一帯一路構想」と中国の経済目標
調査の過程で、清華社のIPスキャンポートも観察し、モンゴル、ケニア、ブラジルの政府部門や商業団体のネットワークを調査しました。 これらの国々はそれぞれ、中国の一帯一路構想の一環として、主要な投資先である。
中国の一帯一路構想(BRI)は、習近平国家主席の最も野心的なプログラムの1つです。中国の地政学的変革的影響を世界中に投影することを想定していますが、プロジェクトの規模と範囲は前例のないものです。北京は65カ国のインフラと開発プロジェクトに4兆ドルの投資を行い、世界人口の70%、世界のエネルギー埋蔵量の75%が影響を受けています。この計画は、ユーラシアの主要な経済の中心地を陸と海で結ぶことを目的としています。その多くは、2000年前に歴史的に古代のシルクロードに使用されていました。
ディプロマット紙によると、「一帯一路は、米国のアジアへの軸足を回避しながら、中国の西側周辺を安定させ、経済を再燃させ、非西側の国際経済機関を推進し、他国で影響力を獲得し、貿易供給国/ルートを多様化することを目的としている」という。
中国の一帯一路構想。情報源: Mercator Institute for China Studies, merics.org
BRIはまた、アフリカ大陸全体で行われた大規模なインフラ投資を活用して、アフリカにおける中国の地政学的・経済的影響力をさらに強化することも目指している。 特にケニアは、中国の「一帯一路構想」の海上関連要素である「海上シルクロード構想(MSRI)」における戦略的な地理的優位性により、注目を集めている。
今年初め、 ケニア は一帯一路に基づく地域プロジェクトにロビー活動を行うと発表した。中国はすでにケニアの港湾都市モンバサと首都ナイロビを結ぶ 480キロメートルの鉄道 に資金を提供している。鉄道は最終的には近隣諸国のウガンダ、ルワンダ、ブルンジ にも伸びる予定 だ。しかし、2018年5月、ケニアは東アフリカ共同体(EAC)諸国と協議中だった中国との自由貿易協定に 署名しないと発表 し、北京とナイロビの緊張が高まった。
2018年6月上旬、清華のIPアドレスが、ケニアのさまざまなインターネットホスティングプロバイダーや通信会社のポート22、53、80、389、443、およびケニアのすべての港湾の維持と運営を担当する国営企業であるケニア港湾局専用の範囲を積極的にスキャンしているのを確認しました。 Recorded Futureは、ナイロビの国連事務所、ケニアのストラスモア大学、およびより広範な全国教育ネットワークに向けられたネットワーク偵察活動も特定しました。
下のグラフは、清華 IP のケニアの組織に対するネットワーク偵察活動が明らかに急増していることを示しています。 この急増は、ケニアが中国とEACの自由貿易協定を支持しない意向を発表してからわずか2週間後に発生しました。
2018年3月から2018年6月にかけて、清華知的財産がケニアの機関を対象に実施したネットワーク偵察イベントと、中国とケニアの主要な経済動向を重ね合わせた。
今年の4月、習近平国家主席は、BRIから中国のインフラ投資を受けている国のリストにブラジルを加えました。2016年に中国がブラジルの別の州、アマパー州の教育およびエネルギー部門に多額の投資を行ったことを踏まえて、北東部のマラニャン州にある5億2000万ドルの新しい港湾への資金提供が発表されました。
私たちの調査では、北京に拠点を置くChina Communications Construction Co.がマラニョン港の建設を開始してからわずか1か月後の2018年4月2日から6月11日にかけて、清華社がブラジルのアマパ省(アマパ国務省)に接続しようと試みたことが明らかになりました。
また、2018年4月6日から4月12日の間に、モンゴルの国立データセンタービルやモンゴル科学技術大学などの組織ネットワークに接続しようとする試みが繰り返されました。モンゴルは中国のBRI計画においても重要な役割を果たしています。シルクロード経済ベルト(SREB)として知られるBRIの陸路部分は、新しいユーラシア陸橋と、中国-モンゴル-ロシア回廊を含む5つ以上の新しい経済回廊を提案しています。
ケニア、ブラジル、モンゴルの清華IPプローブネットワークから観測された一貫した偵察活動は、BRIの経済開発目標と密接に一致しており、このIPを使用する脅威アクターが中国国家のためにサイバースパイ活動に従事していることを示していると、中程度の信頼性で評価しています。
清華大学の知的財産活動の将来のタイムラインをオポチュニティ・アラスカと相関させ、BRIの主要な発表と関連づけて記録しました。
米国と中国の貿易摩擦の高まりの影響
2018年6月20日、ドイツの多国籍自動車会社ダイムラーAGは、米中間の貿易摩擦の激化により、利益見通しを引き下げた最初の著名企業でした。 翌日の 6 月 21 日には、Daimler AG に解決されるネットワーク上のポート 139、22、443、53 を特に標的としたネットワーク偵察活動が観測されました。 プローブは、同じ清華大学のIPから発信されました。
2018年6月20日から24日にかけて、ポート139、22、443、および53でDaimler AGネットワークをプローブする清華社IP通信。
米国のマネージドホテルネットワークソリューションプロバイダーとの相互作用
Tsinghua IP に対する Shodan クエリは、HTTP 302 対応 "snap.safetynetaccess.com" を返しました。 リダイレクト通知。マサチューセッツ州ニーダムに拠点を置く Safety NetAccess は、ホテル、リゾート、その他の公共施設向けのワイヤレス ネットワークを構築しています。顧客には、ヒルトン、マリオット、ソネスタ、ウィンダムのホテルチェーンなどがあります。セーフティ・ネットアクセスのウェブサイトによると、SNAPは「高度なバックエンド・ソフトウェア・プログラム」であり、セーフティ・ネットアクセスのエージェントに「あらゆる場所にあるすべての管理機器への直接アクセス」を提供する。リダイレクト通知内のフィールドはわかりにくいように見えるかもしれませんが、Safety NetAccess の主要なゲートウェイおよびルーティング機器プロバイダーである Nomadix Internet Gateways のポータル ページ パラメーターに対応しています。
Shodanのクエリにより、清華のIP 166.111.8が明らかになりました。246 セーフティ NetAccess ポータルに「サブスクライブ」しました。
HTTPヘッダーレスポンス(上記)は、Cox CommunicationsのIPアドレス98.180.88[.]145はもともと「加入者」(SIP)によって要求され、清華IPアドレス166.111.8[.]246. Cox Communications IP に移動すると、ユーザーはフロリダ州オカラに拠点を置く Holiday Inn ホテルの Safety NetAccess ゲスト インターネット ポータルにリダイレクトされます。
フロリダ州オカラのホリデイインの安全NetAccessポータルログイン。
HTTP 対応の「場所」フィールドの URL を分類すると、Tsinghua デバイスの MAC アドレス (00:13:5F:07:87:D9) と Nomadix デバイスの IP アドレス (68.105.161[.]74), URL に UIP として表示されます。UIPはフロリダ州オカラのCox Communicationsに解決され、オープン情報源調査によると、このUIPをホストするデバイスはAG 3100 Nomadixラックマウント型インターネットゲートウェイであり、マジックIPを使用したDNSおよびHTTPリダイレクトをサポートしています。 この UIP は、ポート 443 で 脆弱な WindWeb サーバーを実行しているようです。Shodanの結果は、インターネットゲートウェイへのFTPログイン試行の失敗と、Telnetイベントを示しています。
入手可能な限られたデータから、Tsinghua IPは、フロリダのホリデイ・インホテルに対してSafety NetAccessのSNAPポータルによって可能になったリモート管理アクセス制御を活用しようとしていたと、低い信頼性で評価しています。
「ext4」バックドアは清華社IPと関連していますか?
チベットのデバイスで「ext4」バックドアが発見されたことで、清華大学のIPからデバイスをより広範囲に標的にしていることを特定することができました。 しかし、清華社からチベットのデバイスへの接続が試みられたものの、バックドアのアクティベーションに成功したものはなく、広範なネットワーク偵察活動の背後にいる脅威アクターが「ext4」バックドアにも関与しているかどうかは不明です。
そのため、チベットのネットワークに「ext4」バックドアがTsinghua IPに関与していることを説明する2つのシナリオが考えられます。
- Tsinghua IPは、脅威アクターが「ext4」バックドアにアクセスするために使用されていますが、技術的な障害やオペレーターのエラーにより、バックドアとの通信を確立するために必要なTCP接続パケットの設定に誤りがあります。
- 清華IPは、中国が一帯一路の下で関与している国々を標的にするだけでなく、チベットネットワークなどの「五毒 2 」組織も標的にして、戦略的経済的および国益に反するネットワーク偵察とサイバースパイ活動を行うために広く使用されています。したがって、「ext4」バックドアは、このレポートで前述した組織に対するネットワークスキャン活動に関与していない別の脅威アクターのものである可能性があります。
技術的分析
「ext4」バックドア
「ext4」バックドアの主な特徴。
「ext4」は、清華大学のIP偵察活動が観測されたのと同じ時期(2018年5月から6月)に被害者のネットワーク上に存在していた新しいLinuxバックドアです。 この期間中に、清華社のIPからTCP 443経由で被害者のデバイスに接続しようとする試みが合計23回行われました。
「ext4」バックドアは、チベット人コミュニティと提携している侵害、ハッキング CentOS Web サーバー上の正規のシステム「cron」ファイル内で実行されていることが確認されました。 変更されたシステムファイルの分析により、「0anacron」「cron」ファイルが、侵害、ハッキングサーバーの /usr/bin/ext4 ディレクトリにある「ext4」と呼ばれる非標準バイナリを実行するように変更されていたことが判明しました。 バイナリは、興味深いことに、バックグラウンド プロセスとして毎時実行されるように構成されていました。これにより、Linux ターミナルの標準出力に出力が表示されないようになり、Web サーバーの管理者が検出しにくくなります。
etc/cron.hourly/0anacron を変更しました "ext4" バックドア機能を含むスクリプト。
「ext4」バイナリはわずか 9511 バイトと比較的小さく、単純な関数で構成されていました。これは、Unix システムに存在する libpcap ライブラリに動的にリンクされ、「ネットワーク スニファー」によって通常使用されるパケット (pcap ファイル) のキャプチャを可能にしました。
バックドアの操作を駆動する主な機能は、「メイン」、「プロセス」、「my_pcap_handler」の3つでした。 これらの機能はすべて一緒に流れて、バックドアの主要な機能を実行します。
主な機能
メイン機能は、ファイル「tmp/0baaf161db39」の削除、バックドア機能を実行する子プロセスの作成、スリープタイマーの180秒の設定という3つの中心的なタスクを実行しました。 スリープ タイマーの制限に達すると、プロセスは終了します。
さらに、main 関数はコマンドライン引数もチェックして、侵害されたネットワーク上で監視するネットワークインターフェイスを決定しました。 デフォルトでは、"ext4" は "eth0" を使用していました。
プロセス機能
プロセス関数の主な目的は、libpcap関数「pcap_open_live」を使用してネットワークトラフィックをキャプチャするためのハンドルを作成することでした。
ハンドルが作成されると、別の libpcap 関数 "pcap_loop" が実行され、"pcap_open_live" で指定されたインターフェイスに送信されたすべてのパケットを処理し、それらを関数 "my_packet_handler" に送信して、送信されたパケットの種類に基づいて解析してアクションを実行しました。
「my_packet_handler」機能
指定されたネットワークインターフェースに送信されたすべてのパケットは、「my_packet_handler」機能によって受信されました。 次に、ハンドラは、Ethernet、IP、およびTCPヘッダー3 を解析して、処理する予定のパケットであるかどうかを検証するための一連のチェックを実行した。 検証が完了すると、この関数はペイロードをデコードしました。ペイロードは、通常は侵害されたCentOSホスト上のbashシェルに供給されるコマンドです。
次の手順は、関数が正しいパケットを処理したことを確認するために使用した解析と検証の基準を示しています。 いずれかの時点で関数が予期しない結果を受け取った場合、パケットは関数からドロップされ、次のパケットが処理されます。
- イーサネットヘッダーをチェックして、タイプがIP(タイプ2048)であることを確認します。
- IP ヘッダーの長さは、IP ヘッダーから解析されます。
- IP ヘッダーを解析して、プロトコルが TCP (タイプ 6) であることを確認します。
- TCP ヘッダーを解析して、宛先ポートが 443 であることを確認します。
- データ オフセットまたはペイロードの開始を見つけます。
- TCP フラグが 322 に等しく、NS (Nonce Sum)、ECE (ECN-Echo)、および SYN フラグが設定されていることを確認します。
フラグの内訳は、設定される SYN と ECE、および NS フラグを検索するため、重要です。 NS フラグは、TCP 送信者からのマークされたパケットの偶発的または悪意のある隠蔽から保護するために使用されます。
ECE フラグは、TCP ピアが明示的輻輳通知(ECN)と互換性があるかどうかを示します。ECN は、輻輳によるパケットのドロップを防ぐ TCP のオプションの拡張機能です。ECN 対応ルーターを使用する大企業では ECN の使用は正常ですが、NS ビットの使用は実験的なもののようで、TCP 実装では正式に使用されていません。
パケットがすべての基準を満たすと、関数はペイロードの長さを取得し、5 バイトから 1024 バイトの間であることを確認します。 その後、メモリを割り当て、ペイロードをメモリに保存します。
ペイロードは XOR エンコードされ、ペイロードの最初のバイトは XOR キーです。 この関数は、ペイロードの最初のバイトを使用して次の5バイトをデコードし、それらが文字列「anti:」と等しいかどうかを確認します。
デコードされたバイトが "anti:" と等しい場合、ペイロードの残りの部分がデコードされ、execl 呼び出しを使用して bash コマンドを実行するための最終引数として渡されます。
今後の展望
中国は、国内の安定に対する脅威を監視・追跡するためにサイバー作戦を引き続き使用しており、これは「五毒」と端的に要約されている。 このように国内の脅威に焦点を当てることで、セキュリティ研究者は、迫害されたコミュニティに対して積極的に使用されている新しいキャンペーンやツールを特定できます。 「ext4」は、脅威アクターが侵害されたデバイスにアクセスし、さらに悪意のある活動を行うことができるように設計された、洗練された軽量のLinuxバックドアです。 これは、おそらく中国の国家主体がチベット人コミュニティを標的にするために使用しているツールの一例でもあります。
さらに、CentOSサーバーが広く使用されており、その多くはパッチが適用されておらず、本番システムで使用されており、潜在的な攻撃対象領域の幅広さを浮き彫りにしています。
中国の一帯一路構想と アフリカのインフラへの長期投資 により、中国はこれらの政策の対象となる国々で 大きな影響力を行使 できるようになりました。清華大学のインフラから発せられ、ケニア、モンゴル、ブラジルの経済的利益を標的とした広範なネットワーク偵察活動は、国家主導であると中程度の確信度で評価します。
中国は、自国の経済的利益を支援するためにサイバースパイ活動を繰り返し行ってきた。2017年11月、司法省は経済サイバースパイの罪で有罪判決を受けた 3人の中国人ハッカーを起訴 した。さらに、米国国家防諜安全保障センターは、 サイバー空間における対外経済スパイ活動に関する最近の報告書の中で、中国の脅威アクターであるAPT10、KeyBoy、Temp.Periscopeが、戦略的な国家的および経済的利益を支援するために広範なサイバースパイ活動を行っていることを強調した。
チベット人コミュニティを標的とした「ext4」バックドアの発見以外に、このレポートで文書化された組織ではマルウェアの存在は確認されていません。これは、分析の大部分がサードパーティのメタデータに基づいていたためです。 しかし、中国とアラスカ、ケニア、ブラジル、モンゴルのカウンターパートとの間の二国間貿易および戦略的対話の期間中にネットワークを標的としたスキャンとプローブを行ったことは、その活動が中国国家の指示を受けた脅威アクター(または同じ清華エンドポイントにアクセスできる複数の脅威アクター)によって行われていることを示していると、中程度の信頼性で評価しています。
ネットワーク防御に関する推奨事項
Recorded Futureは、このレポートで詳述されている中国の脅威アクターによる敵対的なネットワーク偵察やCentOSバックドアの展開の可能性に対して防御する際に、組織が次の対策を講じることを推奨しています。
- 侵入検知システム(IDS)と侵入防止システム(IPS)を設定して、清華大学のIP 166.111.8[.]246.
- 「ext4」バックドアに対して提供されたYaraルールを使用して、ネットワーク上の任意のLinuxホストのスキャンを実行して、バックドアの存在を確認します。
- 該当する場合は、"ext4" Yara ルールが組織で使用されているエンドポイント保護アプライアンスにデプロイされていることを確認します。 Linux ホストをスキャンして、「/usr/bin/ext4」および「/tmp/0baaf161db39」ファイルが存在するかどうかを確認します。
さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。
- すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
- 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
- システムの定期的なバックアップを作成し、バックアップをオフライン (できればオフサイト) に保存して、ネットワーク経由でデータにアクセスできないようにします。
- 綿密なインシデント対応とコミュニケーション計画を立てる。
- 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできるユーザーがアクセスできるデータを確認します (たとえば、デバイスやフィッシングによるアカウントの乗っ取りなど)。 ロールベースのアクセスの導入、全社的なデータアクセスの制限、機密データへのアクセスの制限を強く検討します。
- ホストベースの制御を採用する — 攻撃を阻止するための最良の防御策と警告信号の 1 つは、クライアントベースのホストロギングと侵入検知機能を実行することです。
- ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
- パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。
侵害、ハッキングに関連する指標の 完全なリストを表示する には、この分析のPDF版の 付録を参照してください 。
1清華大学は、清華大学としてもローマ字表記されています。
2「五毒」とは、ウイグル人、チベット人、法輪功、中国の民主化運動、台湾の独立運動など、中国共産党が自国の安定を脅かす脅威である。
3参考までに、付録 A に、イーサネット、IP、および TCP ヘッダーのオフセットを示す表を用意しています。 これは、この関数がヘッダーを解析する方法を追跡するのに役立ちます。