>
Insiktレポート

清華大学のインフラに端を発する中国のサイバースパイ活動

投稿: 2018年8月16日
作成者 : Insikt Group

Insikt Group

分析の全文をPDFでダウンロードするには、ここをクリックしてください

スコープノート:Recorded Futureは、チベット人コミュニティを標的とした新しいマルウェアを分析し、マルウェアとそれに関連するインフラストラクチャの詳細な分析を行いました。 ソースには、Recorded Futureのプラットフォーム、VirusTotal、ReversingLabs、サードパーティのメタデータ、およびDomainTools IrisやPassiveTotalなどの一般的なOSINTおよびネットワークメタデータエンリッチメントが含まれます。 この研究は、認識された国内の脅威に対して中国国家が使用する高度な技術の幅広さに焦点を当てたシリーズの一部です。

Executive Summary

チベット人コミュニティを標的とした中国の RedAlphaキャンペーン を明らかにした調査の後、Recorded FutureのInsikt Groupは、同じチベットの被害者グループに対して展開された「ext4」と呼ばれる新しいLinuxバックドアを特定しました。 バックドアを分析した結果、中国のエリート学術機関である清華大学に登録 されたインフラストラクチャから発せられる、侵害された同じCentOS Webサーバーへの接続が繰り返し試みられていることを発見しました。

また、アラスカ州政府、アラスカ州天然資源省、ナイロビの国連事務所、ケニア港湾局など、多くの地政組織を対象とした同じ清華大学のインフラストラクチャからネットワーク偵察活動が行われていることも確認しました。 さらに、ドイツの自動車多国籍企業であるダイムラーAGが、米国と中国の間の貿易摩擦の高まりを理由に、その年の利益見通しを下方修正した翌日に開始されたターゲットスキャンを特定しました。 いくつかのケースでは、これらの活動は、これらの国や組織との経済協力のための中国の対話の期間中に行われました。

私たちが発見したネットワーク偵察活動は、中国の経済発展目標を支援するために中国の国家支援を受けた関係者によって行われたと、中程度の信頼性で評価しています。

主な判断

  • 清華IPアドレス166.111.8 [.]246は、中国の旗艦である一帯一路構想(BRI)に関する中国の外国インフラプロジェクトへの投資をめぐる経済対話や広報の時期に、アラスカ、ケニア、ブラジル、モンゴルの組織を対象としたネットワーク偵察に従事しました。

  • アラスカの組織に対するネットワーク偵察活動は、5月下旬にアラスカ州知事が中国を訪問した貿易代表団の訪問を受けて増加した。 偵察活動の対象となった組織は、石油やガスなど、貿易交渉の中心にある産業にいた。

  • ドイツの自動車多国籍企業ダイムラーAGが標的にされたのは、米中貿易摩擦の高まりを受けて利益警告を発表した翌日に行われた。

  • 清華大学のIPは、米国を拠点とするホテルの高速インターネットポータルへの登録を少なくとも1回試みました。 これは、脆弱なWindWebサーバーを実行しているホスピタリティセクター内のNomadixインターネットゲートウェイを侵害する意図を示している可能性があると低い信頼性で評価しています。

  • 清華社のIPは、チベットのネットワークとの接続を繰り返し試みましたが、高度に洗練されたバックドア「ext4」で侵害されました。

  • 「ext4」は、1時間ごとに180秒のウィンドウ中にのみ、侵害されたネットワークへの着信TCP 443接続を許可し、パケットは正常に接続するためにTCPヘッダーオプションの一意の組み合わせを必要とします。 観測された20回以上の試みで、清華社のIPはバックドアをアクティブにするための正しいTCPオプションを送信しませんでした。 これにより、次のことが示唆されました。

  • 清華社のIPから接続している脅威アクターは、正しい「ext4」バックドア接続シーケンスについて十分な情報を得ておらず、ミスを犯していました。

  • チベットのネットワークを標的にしたことは、「ext4」バックドアの存在とは関連しておらず、このネットワークは、清華社IPによって行われている広範な地政学的および経済的なネットワーク偵察活動に沿って調査されていました。

背景

中華人民共和国(中国)はチベットの 領有 権を主張し、すべてのチベット独立運動を分離主義者の脅威と見なしている。 中国はチベット人コミュニティに対してさまざまな形態の強制を行っているが、チベット人を標的とするサイバースパイ活動は、特に緊張が高まっている時期に頻繁に使用されるツールとなっている。 中国のチベットに対するサイバースパイ活動の最初の事件は、 GhostNetと呼ばれ、2008年に発生しました。 これは、国益を賭けた外国の標的を監視するための広範な試みの一環であった。 それ以来、チベット人に対する数多くのサイバースパイ活動が記録されており、その中にはRecorded Futureの最近の RedAlphaレポートも含まれています。

清華大学 は北京の海淀区にあります。 「中国のMIT」と呼ばれるこの大学は、中国有数の技術研究大学の1つです。 中国の大学は、直接的および間接的に、中国の国家が支援するサイバー能力と関連付けられることがよくあります。 2015 年には、APT17 インフラストラクチャが 中国の東南大学の教授に接続され、2017 年には中国人民解放軍 (PLA) が 西安交通大学と提携し てサイバー民兵プログラムを作成しました。 清華大学はそれ自体が国営の機関であり、世界でも トップクラスの研究 および工学学校です。 その学生の攻撃的なサイバー能力は、清華大学と提携した個人で構成されるセキュリティ研究チームであるBlue-Lotusを通じて最も有名です。 チームはDEF CONの2016年キャプチャー・ザ・フラッグ・コンペティションで 2位に入賞しました

清華大学の研究部門は、米国の技術を盗んだ歴史を持つ国家組織ともつながりがあります。 清華大学の科学研究開発局は、2018年5月に中国共産党会議活動のための中国CITICグループと会い、国の発展に役立つ企業と研究機関間の戦略的協力について話し合いました。 1999 年に発表された「米国の国家安全保障および軍事/商業に関する中国との懸念に関する特別委員会」(いわゆる「コックス報告書」)では、CITIC は中国人民解放軍の秘密作戦と米国の機密技術の窃盗に関連しているとされている。コックス報告書はまた、1990年にCITICが人民解放軍に代わって米国の航空機部品メーカーを買収し、米国の輸出管理航空宇宙技術にアクセスしようとしたことにも言及している。 さらに、CITICの元会長であるWang Zhenは、 1996年にPoly Technologies が2,000丁の中国製AK-47アサルトライフルを米国に密輸しようとしたことに端を発する起訴に関与していた。

清華大学情報システム工学研究所(Institute of Information Systems and Engineering)は、中国の国家 863および973プログラムにも公然と加盟しています。 863プログラムは、国家ハイテク開発計画とも呼ばれ中国の主要技術産業における国家能力の開発に焦点を当てており、1997年に初めて設立された973プログラムは、主要産業における技術的優位性を達成するために必要な基礎技術の開発に焦点を当てている。どちらのプログラムも、中国がプログラムの目標を達成するために知的財産を盗むことを容易にする効果がありました。

過去10年間で、中国政府が支援するサイバー脅威アクターが多数特定され、主要な戦略的産業で科学的、技術的、経済的優位性を獲得するための中国の 政策指示 を直接反映した広範なサイバースパイ活動を行っていることが確認されています。 この活動は、最近では 、マネージドITサービスプロバイダー を標的としたAPT10と、2017年に人気のあるソフトウェア製品CCleanerに対して大規模な サプライチェーン攻撃 を行ったAPT17による運用で観察できます。

清華社の知的財産活動の将来のタイムラインを記録

チベットの抗議行動と相関した清華のIP活動の将来のタイムラインを記録しました。

脅威分析

Recorded Futureは、チベット人コミュニティを標的にした継続的な調査中に、「ext4」バックドアの存在を発見しました。 このバックドアは、CentOSを実行しているLinuxWebサーバー上で実行されるように構成されており、システムファイル内に埋め込むように密かに設計されていました。 バックドアは、TCPポート443で着信接続をアクティブにして受け入れる1時間ごとに3分間のウィンドウを除いて、ほとんど非アクティブでした。

Recorded Futureの独自のカバレッジにより、2018年5月から6月の間に、同じ侵害されたCentOSサーバーへの接続が試行された23回を観測することができました。 すべての試みは、同じIPアドレス166.111.8[.]246、中国教育研究ネットワークセンターに解決しました。 WHOISの記録 によると、IPは「清華大学」のアドレスに登録された大きな/16 CIDR範囲内にあります。

以下のPCAPに示すように、Tsinghua IPからチベットネットワークに接続しようとするすべてのパケットで、TCPヘッダーのオプションが最大セグメントサイズ60バイトに設定されたことが観察されました。

清華IP接続の試み

清華IPから侵害されたチベットのCentOSサーバーへの接続試行のPCAP。

「ext4」コードは一意であるように見え、コードや名前の類似性についてオンラインで目立つ痕跡はありません。 私たちの提出物を除いて、2018年8月3日現在、主要なマルチスキャナーリポジトリで「ext4」の主要な特性に似たバックドアのアップロードは観察されていません。 VirusTotalの検出率が0/58であることから、発見された「ext4」サンプルは、チベット人コミュニティを標的とした新しいユニークなバックドアであることが確認されました。

「ext4」バイナリの詳細な分析は、このレポートの テクニカル分析 セクションにあります。

清華大学のIPアドレス 166.111.8[.]246

複数のIPエンリッチメントソースによると、このIPは2018年3月23日にRecorded Futureで初めて観測され、中国教育研究ネットワークセンター(CERNET)に解決されました。 CERNET は、中国の6つの主要なバックボーンネットワークの1つであり、中国の学術研究機関向けに予約されたアドレス指定可能なIPスペースの大部分を提供する包括的な組織です。 前述のように、WHOISの記録では、IPが「清華大学」に登録された範囲内にあることが確認されています。

利用可能なポートスキャンデータによると、IPは現在、 PPTP (TCPポート1723)、 MySQL (3306)、 MAMP (8888)などのアクティブに実行されているサービスのほか、より一般的な OpenSSH (22)、 HTTP (80、8080、8008)、 SSL (443、8443、9443)、 VPN IKE (500)サービスなど、アクティブに実行されているサービスで構成されていることが明らかになりました。 HTTPポートは、このIPから観察されたアクティビティの性質を考えると、リバースプロキシまたはロードバランサーとして、NGINX Webサーバーとして構成されているように見えました。 多数のオープンポートと関連サービスは、Tsinghua IPがインターネットゲートウェイまたはVPNエンドポイントである可能性があることを示しています。

収録フューチャーインテリジェンスカード

清華IPの録音された未来インテリジェンスカード™ 166.111.8 [.]246.

このIPの将来の エンリッチメント の記録は、過去にスキャン、ブルートフォース攻撃、および積極的な悪用の試みのソースであったことを示しています。 これは、中国発の悪意のあるサイバー指標を追跡する台湾の台中市教育局によってフラグが立てられ、AlienVaultのブラックリストに表示されるなど、いくつかのリスクルールを引き起こしました。 さらに、IP のメタデータ分析は、ゲートウェイ、NAT、またはプロキシである可能性が高く、このアクティビティの真の発信元マシンがこの IP の背後にあることを示しています。

同じIPアドレスは、当時中国の国有企業との主要な貿易協議に関与していた組織の大規模なネットワーク偵察も行っていることが観察されました。 これらの偵察活動は、中国の戦略的および経済的利益と広く一致しているため、偶然ではないと考えています。

「オポチュニティ・アラスカ」

2018年4月6日から6月24日の間に、清華IPとアラスカのいくつかのネットワークとの間には、次のような100万を超えるIP接続が観測されました。

  • アラスカ通信システムグループ
  • アラスカ州天然資源局
  • アラスカ・パワー・アンド・テレフォン・カンパニー
  • アラスカ州政府
  • TelAlaska (英語)

清華社のIPと上記の組織との間の膨大な数の接続は、アラスカのネットワーク上のポート22、53、80、139、443、769、および2816の一括スキャンに関連しており、脆弱性を確認し、不正なアクセスを取得するために行われた可能性があります。 スキャン活動は、上記のポートでプローブされた組織専用のIP範囲全体で体系的に実施されました。

アラスカ州政府に対するこのターゲティングは、「オポチュニティ・アラスカ」と呼ばれるアラスカの中国への大規模な貿易使節団に続くものだった。 この貿易使節団は5月下旬に行われ、アラスカ州知事のビル・ウォーカーが主導した。 これらの会談では、 アラスカと中国の間のガスパイプラインの見通しをめぐって、最も注目を集めた議論の1つが行われた。 中国と米国の貿易戦争の恐れにもかかわらず、ウォーカー知事の事務所は、貿易使節団は「アラスカが提供する最高のもののいくつかを代表しており、...私たちの最大の貿易相手国と共有する利益の広い範囲を[強調]しました。」オポチュニティ・アラスカは、漁業、観光、建築、投資業界のアラスカ企業からの代表者で構成され、北京、上海、成都に立ち寄りました。

ネットワークプローブイベント

2018年5月にアラスカの中国貿易代表団が同時期にアラスカの機関を対象にTsinghua IPが実施したネットワーク調査イベント。

Recorded Futureは、ウォーカー知事が中国への貿易代表団を発表してからわずか数週間後の3月下旬に、アラスカのネットワークに対するスキャン活動を初めて観測しました。 この活動は、2018年5月20日に代表団が到着する数日前から再開され、代表団が到着すると中断されました。 アラスカのネットワークの調査は、代表団が活動を終了した5月28日まで低水準にとどまり、その後、代表団が中国を離れるにつれて大幅に増加した。 関連トピックに関する貿易議論の終了時にスキャン活動が急増したことは、この活動が、旅行に対するアラスカの視点と訪問後の交渉における戦略的優位性についての洞察を得る試みであった可能性が高いことを示しています。

6月20日から6月24日にかけて、アラスカ州とアラスカ州天然資源局のネットワークに対する関心がさらに高まった。 これは、ウォーカー知事が6月19 日にワシントン D.C.を訪問し、米中両国間の貿易紛争の深刻化に対する懸念を表明するため、米国と中国の当局者と会談する意向を表明したことに対する反応だった可能性がある。

「一帯一路構想」と中国の経済目標

調査の過程で、清華社のIPスキャンポートも観察し、モンゴル、ケニア、ブラジルの政府部門や商業団体のネットワークを調査しました。 これらの国々はそれぞれ、中国の一帯一路構想の一環として、主要な投資先である。

中国の一帯一路構想 (BRI)は、習近平国家主席の最も野心的なプログラムの1つです。 中国の変革的な地政学的影響力を世界中に投影することを想定したこのプロジェクトの規模と範囲は前例のないものです。中国政府は、世界人口の70%、世界のエネルギー埋蔵量の75%に影響を与える65カ国のインフラ・開発プロジェクトに4兆ドルの投資を約束している。 この計画は、ユーラシアの主要な経済の中心地を陸と海でつなぐように設計されており、その多くは歴史的に2000年前の古代シルクロードに役立っていました。

ディプロマット紙によれば、BRIは「一帯一路は、中国の西側周辺地域を安定させ、経済を再燃させ、非西側諸国の国際経済機関を推進し、他国で影響力を獲得し、貿易供給者/ルートを多様化する一方で、米国のアジアへの軸足を回避することを目指している」という。

中国の一帯一路構想

中国の一帯一路構想。 出典:メルカトル大学中国研究所、merics.org

BRIはまた、アフリカ大陸全体で行われた大規模なインフラ投資を活用して、アフリカにおける中国の地政学的・経済的影響力をさらに強化することも目指している。 特にケニアは、中国の「一帯一路構想」の海上関連要素である「海上シルクロード構想(MSRI)」における戦略的な地理的優位性により、注目を集めている。

今年初め、ケニアはBRIの下で地域プロジェクトに対してロビー活動を行う と発表 した。 中国はすでに、ケニアの港湾都市モンバサと首都ナイロビを結ぶ 480キロメートルの鉄道 に資金を提供している。この鉄道は、最終的には近隣諸国のウガンダ、ルワンダ、ブルンジ にも延伸する予定です 。 しかし、2018年5月、ケニアは東アフリカ共同体(EAC)諸国と協議していた中国との自由貿易協定 に署名しないと発表 し、北京とナイロビの間の緊張が高まった。

2018年6月上旬、清華のIPアドレスが、ケニアのさまざまなインターネットホスティングプロバイダーや通信会社のポート22、53、80、389、443、およびケニアのすべての港湾の維持と運営を担当する国営企業であるケニア港湾局専用の範囲を積極的にスキャンしているのを確認しました。 Recorded Futureは、ナイロビの国連事務所、ケニアのストラスモア大学、およびより広範な全国教育ネットワークに向けられたネットワーク偵察活動も特定しました。

下のグラフは、清華 IP のケニアの組織に対するネットワーク偵察活動が明らかに急増していることを示しています。 この急増は、ケニアが中国とEACの自由貿易協定を支持しない意向を発表してからわずか2週間後に発生しました。

ネットワーク偵察イベント

2018年3月から2018年6月にかけて、清華知的財産がケニアの機関を対象に実施したネットワーク偵察イベントと、中国とケニアの主要な経済動向を重ね合わせた。

今年4月、 習近平国家主席 は、BRIから中国のインフラ投資を受ける国のリストにブラジルを追加しました。 北東部のマラニョン州に5億2,000万ドルを投じて新港を建設するための資金提供が発表されました。これは、 2016年に中国がブラジルの別の州であるアマパの教育およびエネルギー部門に行った大規模な投資を基にしています。

私たちの調査では、北京に拠点を置くChina Communications Construction Co.がマラニョン港の建設を開始してからわずか1か月後の2018年4月2日から6月11日にかけて、清華社がブラジルのアマパ省(アマパ国務省)に接続しようと試みたことが明らかになりました。

また、2018年4月6日から4月12日にかけて、モンゴル国立データセンタービルやモンゴル科学技術大学などの組織ネットワークへの接続が繰り返し試みられたことが確認されました。 モンゴルは中国のBRI計画でも重要な役割を果たしている。シルクロード経済ベルト(SREB)として知られるBRIの陸路部分は、 新たなユーラシア陸橋 と、中国-モンゴル-ロシア回廊を含む5つ以上の新たな経済回廊を提案している。

ケニア、ブラジル、モンゴルの清華IPプローブネットワークから観測された一貫した偵察活動は、BRIの経済開発目標と密接に一致しており、このIPを使用する脅威アクターが中国国家のためにサイバースパイ活動に従事していることを示していると、中程度の信頼性で評価しています。

清華社の知的財産活動の将来のタイムラインを記録

清華大学の知的財産活動の将来のタイムラインをオポチュニティ・アラスカと相関させ、BRIの主要な発表と関連づけて記録しました。

米国と中国の貿易摩擦の高まりの影響

2018年6月20日、ドイツの多国籍自動車会社ダイムラーAGは、米中間の貿易摩擦の激化により、利益見通しを引き下げた最初の著名企業でした。 翌日の 6 月 21 日には、Daimler AG に解決されるネットワーク上のポート 139、22、443、53 を特に標的としたネットワーク偵察活動が観測されました。 プローブは、同じ清華大学のIPから発信されました。

清華IPプロービングネットワーク

2018年6月20日から24日にかけて、ポート139、22、443、および53でDaimler AGネットワークをプローブする清華社IP通信。

米国のマネージドホテルネットワークソリューションプロバイダーとの相互作用

清華 IP に対する Shodan クエリは、HTTP 302 応答を返し、"snap.safetynetaccess.com" リダイレクト通知。 マサチューセッツ州ニーダムに拠点を置く Safety NetAccess は、ホテル、リゾート、その他の公共施設向けのワイヤレスネットワークを構築しています。その顧客には、ヒルトン、マリオット、ソネスタ、ウィンダムのホテルチェーンが含まれます。 Safety NetAccessのWebサイトによると、SNAPは、Safety NetAccessのエージェントに「任意の場所にあるすべての管理機器への直接アクセス」を提供する「高度なバックエンドソフトウェアプログラム」です。 リダイレクト通知内のフィールドはわかりにくいように見えるかもしれませんが、Safety NetAccessのプライマリゲートウェイおよびルーティング機器プロバイダーであるNomadixインターネットゲートウェイのポータルページパラメータに対応しています。

Shodanクエリ

Shodanのクエリにより、清華のIP 166.111.8が明らかになりました。246 セーフティ NetAccess ポータルに「サブスクライブ」しました。

HTTPヘッダーレスポンス(上記)は、Cox CommunicationsのIPアドレス98.180.88[.]145はもともと「加入者」(SIP)によって要求され、清華IPアドレス166.111.8[.]246. Cox Communications IP に移動すると、ユーザーはフロリダ州オカラに拠点を置く Holiday Inn ホテルの Safety NetAccess ゲスト インターネット ポータルにリダイレクトされます。

セーフティネットアクセスポータル ログイン

フロリダ州オカラのホリデイインの安全NetAccessポータルログイン。

HTTPレスポンスの「Location」フィールドのURLを分類すると、TsinghuaデバイスのMACアドレス(00:13:5F:07:87:D9)とNomadixデバイスのIPアドレス(68.105.161[.]74), URL に UIP として表示されます。 UIPはフロリダ州オカラのCox Communicationsに解決され、オープンソースの調査によると、このUIPをホストするデバイスはAG 3100 Nomadixラックマウントインターネットゲートウェイであり、マジックIPを使用したDNSおよびHTTPリダイレクトをサポートしています。 このUIPは、ポート443で 脆弱なWindWeb サーバーを実行しているようです。 Shodanの結果は、インターネットゲートウェイへのFTPログイン試行の失敗とTelnetイベントを示しています。

入手可能な限られたデータから、Tsinghua IPは、フロリダのホリデイ・インホテルに対してSafety NetAccessのSNAPポータルによって可能になったリモート管理アクセス制御を活用しようとしていたと、低い信頼性で評価しています。

「ext4」バックドアは清華社IPと関連していますか?

チベットのデバイスで「ext4」バックドアが発見されたことで、清華大学のIPからデバイスをより広範囲に標的にしていることを特定することができました。 しかし、清華社からチベットのデバイスへの接続が試みられたものの、バックドアのアクティベーションに成功したものはなく、広範なネットワーク偵察活動の背後にいる脅威アクターが「ext4」バックドアにも関与しているかどうかは不明です。

そのため、チベットのネットワークに「ext4」バックドアがTsinghua IPに関与していることを説明する2つのシナリオが考えられます。

  • Tsinghua IPは、脅威アクターが「ext4」バックドアにアクセスするために使用されていますが、技術的な障害やオペレーターのエラーにより、バックドアとの通信を確立するために必要なTCP接続パケットの設定に誤りがあります。
  • 清華社の知的財産は、中国がBRIの下で関与している国だけでなく、チベットネットワークなどの「ファイブポイズン2」組織も対象とする、戦略的な経済的および国益に対するネットワーク偵察やサイバースパイ活動を行うために広く使用されています。 したがって、「ext4」バックドアは、このレポートで前述した組織に対するネットワークスキャン活動に関与していない別の脅威アクターに属している可能性があります。

技術的分析

「ext4」バックドア

Ext4 バックドアの特性

「ext4」バックドアの主な特徴。

「ext4」は、清華大学のIP偵察活動が観測されたのと同じ時期(2018年5月から6月)に被害者のネットワーク上に存在していた新しいLinuxバックドアです。 この期間中に、清華社のIPからTCP 443経由で被害者のデバイスに接続しようとする試みが合計23回行われました。

「ext4」バックドアは、チベット人コミュニティと提携している侵害されたCentOSウェブサーバー上の正当なシステム「cron」ファイル内で実行されていることが確認されました。 変更されたシステムファイルを分析したところ、「0anacron」の「cron」ファイルは、侵害されたサーバーの/usr/bin/ext4ディレクトリにある「ext4」と呼ばれる非標準のバイナリを実行するように変更されていたことがわかりました。 バイナリは、毎時実行するように設定されており、興味深いことに、バックグラウンドプロセスとして実行されています。 これにより、Linuxターミナルの標準出力に出力が表示されないようになるため、Webサーバーの管理者にとって検出されにくくなります。

変更されたスクリプト

etc/cron.hourly/0anacron を変更しました "ext4" バックドア機能を含むスクリプト。

「ext4」バイナリは比較的小さく、わずか9511バイトで、単純な関数で構成されていました。 これは、Unix システムに存在する libpcap ライブラリに動的にリンクされており、「ネットワークスニファー」が通常使用するパケット (pcap ファイル) のキャプチャを可能にしました。

バックドアの操作を駆動する主な機能は、「メイン」、「プロセス」、「my_pcap_handler」の3つでした。 これらの機能はすべて一緒に流れて、バックドアの主要な機能を実行します。

主な機能

メイン機能は、ファイル「tmp/0baaf161db39」の削除、バックドア機能を実行する子プロセスの作成、スリープタイマーの180秒の設定という3つの中心的なタスクを実行しました。 スリープ タイマーの制限に達すると、プロセスは終了します。

主な機能

さらに、main 関数はコマンドライン引数もチェックして、侵害されたネットワーク上で監視するネットワークインターフェイスを決定しました。 デフォルトでは、"ext4" は "eth0" を使用していました。

プロセス機能

プロセス関数の主な目的は、libpcap関数「pcap_open_live」を使用してネットワークトラフィックをキャプチャするためのハンドルを作成することでした。

プロセス機能

ハンドルが作成されると、別の libpcap 関数 "pcap_loop" が実行され、"pcap_open_live" で指定されたインターフェイスに送信されたすべてのパケットを処理し、それらを関数 "my_packet_handler" に送信して、送信されたパケットの種類に基づいて解析してアクションを実行しました。

「my_packet_handler」機能

指定されたネットワークインターフェースに送信されたすべてのパケットは、「my_packet_handler」機能によって受信されました。 次に、ハンドラは、Ethernet、IP、およびTCPヘッダー3 を解析して、処理する予定のパケットであるかどうかを検証するための一連のチェックを実行した。 検証が完了すると、この関数はペイロードをデコードしました。ペイロードは、通常は侵害されたCentOSホスト上のbashシェルに供給されるコマンドです。

次の手順は、関数が正しいパケットを処理したことを確認するために使用した解析と検証の基準を示しています。 いずれかの時点で関数が予期しない結果を受け取った場合、パケットは関数からドロップされ、次のパケットが処理されます。

  • イーサネットヘッダーをチェックして、タイプがIP(タイプ2048)であることを確認します。
  • IP ヘッダーの長さは、IP ヘッダーから解析されます。
  • IP ヘッダーを解析して、プロトコルが TCP (タイプ 6) であることを確認します。
  • TCP ヘッダーを解析して、宛先ポートが 443 であることを確認します。
  • データ オフセットまたはペイロードの開始を見つけます。
  • TCP フラグが 322 に等しく、NS (Nonce Sum)、ECE (ECN-Echo)、および SYN フラグが設定されていることを確認します。

パケット機能

フラグの内訳は、設定される SYN と ECE、および NS フラグを検索するため、重要です。 NS フラグは、TCP 送信者からのマークされたパケットの偶発的または悪意のある隠蔽から保護するために使用されます。

ECE フラグは、TCP ピアが ECN (Explicit Congestion Notification) と互換性があるかどうかを示す役割を果たします。 ECN は、輻輳によるパケットのドロップを防ぐ TCP のオプションの拡張機能です。 ECN の使用は、ECN 対応ルーターを持つ大企業では正常である可能性がありますが、NS ビットの使用は実験的なものであり、TCP 実装では公式には使用されていません。

パケットがすべての基準を満たすと、関数はペイロードの長さを取得し、5 バイトから 1024 バイトの間であることを確認します。 その後、メモリを割り当て、ペイロードをメモリに保存します。

ペイロードは XOR エンコードされ、ペイロードの最初のバイトは XOR キーです。 この関数は、ペイロードの最初のバイトを使用して次の5バイトをデコードし、それらが文字列「anti:」と等しいかどうかを確認します。

ペイロード機能

デコードされたバイトが "anti:" と等しい場合、ペイロードの残りの部分がデコードされ、execl 呼び出しを使用して bash コマンドを実行するための最終引数として渡されます。

デコードされたペイロード

今後の展望

中国は、国内の安定に対する脅威を監視・追跡するためにサイバー作戦を引き続き使用しており、これは「五毒」と端的に要約されている。 このように国内の脅威に焦点を当てることで、セキュリティ研究者は、迫害されたコミュニティに対して積極的に使用されている新しいキャンペーンやツールを特定できます。 「ext4」は、脅威アクターが侵害されたデバイスにアクセスし、さらに悪意のある活動を行うことができるように設計された、洗練された軽量のLinuxバックドアです。 これは、おそらく中国の国家主体がチベット人コミュニティを標的にするために使用しているツールの一例でもあります。

さらに、CentOSサーバーが広く使用されており、その多くはパッチが適用されておらず、本番システムで使用されており、潜在的な攻撃対象領域の幅広さを浮き彫りにしています。

中国の「一帯一路」構想と アフリカのインフラへの長期投資 により、中国はこれらの政策の対象となる国々で 大きな影響力を行使 することができた。 私たちは、清華大学のインフラストラクチャから発せられ、ケニア、モンゴル、ブラジルの経済的利益を狙った広範なネットワーク偵察活動は、国家主導であると中程度の確信を持って評価しています。

中国は、自国の経済的利益を支援するために、サイバースパイ活動を繰り返し行ってきた。 2017年11月、司法省は、経済サイバースパイの罪で有罪となった 3人の中国人ハッカーを起訴しました 。 さらに、米国国家防諜安全保障センター(National Counterintelligence and Security Center)は、 サイバースペースにおける対外経済スパイ活動に関する最近の報告書で、中国の脅威アクターであるAPT10、KeyBoy、Temp.Periscopeが、戦略的な国家的および経済的利益を支援するために広範なサイバースパイ活動を行ったと強調しています。

チベット人コミュニティを標的とした「ext4」バックドアの発見以外に、このレポートで文書化された組織ではマルウェアの存在は確認されていません。これは、分析の大部分がサードパーティのメタデータに基づいていたためです。 しかし、中国とアラスカ、ケニア、ブラジル、モンゴルのカウンターパートとの間の二国間貿易および戦略的対話の期間中にネットワークを標的としたスキャンとプローブを行ったことは、その活動が中国国家の指示を受けた脅威アクター(または同じ清華エンドポイントにアクセスできる複数の脅威アクター)によって行われていることを示していると、中程度の信頼性で評価しています。

ネットワーク防御に関する推奨事項

Recorded Futureは、このレポートで詳述されている中国の脅威アクターによる敵対的なネットワーク偵察やCentOSバックドアの展開の可能性に対して防御する際に、組織が次の対策を講じることを推奨しています。

  • 侵入検知システム(IDS)と侵入防止システム(IPS)を設定して、清華大学のIP 166.111.8[.]246.
  • 「ext4」バックドアに対して提供されたYaraルールを使用して、ネットワーク上の任意のLinuxホストのスキャンを実行して、バックドアの存在を確認します。
  • 該当する場合は、"ext4" Yara ルールが組織で使用されているエンドポイント保護アプライアンスにデプロイされていることを確認します。 Linux ホストをスキャンして、「/usr/bin/ext4」および「/tmp/0baaf161db39」ファイルが存在するかどうかを確認します。

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

  • すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
  • 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
  • システムの定期的なバックアップを作成し、バックアップをオフライン (できればオフサイト) に保存して、ネットワーク経由でデータにアクセスできないようにします。
  • 綿密なインシデント対応とコミュニケーション計画を立てる。
  • 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできるユーザーがアクセスできるデータを確認します (たとえば、デバイスやフィッシングによるアカウントの乗っ取りなど)。 ロールベースのアクセスの導入、全社的なデータアクセスの制限、機密データへのアクセスの制限を強く検討します。
  • ホストベースの制御を採用する — 攻撃を阻止するための最良の防御策と警告信号の 1 つは、クライアントベースのホストロギングと侵入検知機能を実行することです。
  • ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
  • パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。

この分析の PDF 版の付録を参照して、関連する侵害の指標の完全なリストをご覧ください

1清華大学は、清華大学としてもローマ字表記されています。

2「五毒」とは、ウイグル人、チベット人、法輪功、中国の民主化運動、台湾の独立運動など、中国共産党が自国の安定を脅かす脅威である。

3参考までに、付録 A に、イーサネット、IP、および TCP ヘッダーのオフセットを示す表を用意しています。 これは、この関数がヘッダーを解析する方法を追跡するのに役立ちます。

関連