清華大学のインフラに端を発する中国のサイバースパイ活動

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Scope Note: Recorded Future analyzed new malware targeting the Tibetan community, resulting in a detailed analysis of the malware and its associated infrastructure. Sources include Recorded Future’s platform, VirusTotal, ReversingLabs, and third-party metadata, as well as common OSINT and network metadata enrichments, such as DomainTools Iris and PassiveTotal. This research is part of a series highlighting the breadth of sophisticated techniques used by the Chinese state against perceived domestic threats.

Executive Summary

チベット人コミュニティを標的とした中国の RedAlphaキャンペーン を明らかにした調査の後、Recorded FutureのInsikt Groupは、同じチベットの被害者グループに対して展開された「ext4」と呼ばれる新しいLinuxバックドアを特定しました。 バックドアを分析した結果、中国のエリート学術機関である清^{華大学に登録} されたインフラストラクチャから発せられる、侵害された同じCentOS Webサーバーへの接続が繰り返し試みられていることを発見しました。

また、アラスカ州政府、アラスカ州天然資源省、ナイロビの国連事務所、ケニア港湾局など、多くの地政組織を対象とした同じ清華大学のインフラストラクチャからネットワーク偵察活動が行われていることも確認しました。 さらに、ドイツの自動車多国籍企業であるダイムラーAGが、米国と中国の間の貿易摩擦の高まりを理由に、その年の利益見通しを下方修正した翌日に開始されたターゲットスキャンを特定しました。 いくつかのケースでは、これらの活動は、これらの国や組織との経済協力のための中国の対話の期間中に行われました。

We assess with medium confidence that the network reconnaissance activities we uncovered were conducted by Chinese state-sponsored actors in support of China’s economic development goals.

背景

中華人民共和国(中国)はチベットの 領有 権を主張し、すべてのチベット独立運動を分離主義者の脅威と見なしている。 中国はチベット人コミュニティに対してさまざまな形態の強制を行っているが、チベット人を標的とするサイバースパイ活動は、特に緊張が高まっている時期に頻繁に使用されるツールとなっている。 中国のチベットに対するサイバースパイ活動の最初の事件は、 GhostNetと呼ばれ、2008年に発生しました。 これは、国益を賭けた外国の標的を監視するための広範な試みの一環であった。 それ以来、チベット人に対する数多くのサイバースパイ活動が記録されており、その中にはRecorded Futureの最近の RedAlphaレポートも含まれています。

清華大学 は北京の海淀区にあります。 「中国のMIT」と呼ばれるこの大学は、中国有数の技術研究大学の1つです。 中国の大学は、直接的および間接的に、中国の国家が支援するサイバー能力と関連付けられることがよくあります。 2015 年には、APT17 インフラストラクチャが 中国の東南大学の教授に接続され、2017 年には中国人民解放軍 (PLA) が 西安交通大学と提携し てサイバー民兵プログラムを作成しました。 清華大学はそれ自体が国営の機関であり、世界でも トップクラスの研究 および工学学校です。 その学生の攻撃的なサイバー能力は、清華大学と提携した個人で構成されるセキュリティ研究チームであるBlue-Lotusを通じて最も有名です。 チームはDEF CONの2016年キャプチャー・ザ・フラッグ・コンペティションで 2位に入賞しました 。

清華大学の研究部門は、米国の技術を盗んだ歴史を持つ国家組織ともつながりがあります。 清華大学の科学研究開発局は、2018年5月に中国共産党会議活動のための中国CITICグループと会い、国の発展に役立つ企業と研究機関間の戦略的協力について話し合いました。 1999 年に発表された「米国の国家安全保障および軍事/商業に関する中国との懸念に関する特別委員会」(いわゆる「コックス報告書」)では、CITIC は中国人民解放軍の秘密作戦と米国の機密技術の窃盗に関連しているとされている。コックス報告書はまた、1990年にCITICが人民解放軍に代わって米国の航空機部品メーカーを買収し、米国の輸出管理航空宇宙技術にアクセスしようとしたことにも言及している。 さらに、CITICの元会長であるWang Zhenは、 1996年にPoly Technologies が2,000丁の中国製AK-47アサルトライフルを米国に密輸しようとしたことに端を発する起訴に関与していた。

清華大学情報システム工学研究所(Institute of Information Systems and Engineering)は、中国の国家 863および973プログラムにも公然と加盟しています。 863プログラムは、国家ハイテク開発計画とも呼ばれ、中国の主要技術産業における国家能力の開発に焦点を当てており、1997年に初めて設立された973プログラムは、主要産業における技術的優位性を達成するために必要な基礎技術の開発に焦点を当てている。どちらのプログラムも、中国がプログラムの目標を達成するために知的財産を盗むことを容易にする効果がありました。

過去10年間で、中国政府が支援するサイバー脅威アクターが多数特定され、主要な戦略的産業で科学的、技術的、経済的優位性を獲得するための中国の 政策指示 を直接反映した広範なサイバースパイ活動を行っていることが確認されています。 この活動は、最近では 、マネージドITサービスプロバイダー を標的としたAPT10と、2017年に人気のあるソフトウェア製品CCleanerに対して大規模な サプライチェーン攻撃 を行ったAPT17による運用で観察できます。

チベットの抗議行動と相関した清華のIP活動の将来のタイムラインを記録しました。

脅威分析

Recorded Futureは、チベット人コミュニティを標的にした継続的な調査中に、「ext4」バックドアの存在を発見しました。 このバックドアは、CentOSを実行しているLinuxWebサーバー上で実行されるように構成されており、システムファイル内に埋め込むように密かに設計されていました。 バックドアは、TCPポート443で着信接続をアクティブにして受け入れる1時間ごとに3分間のウィンドウを除いて、ほとんど非アクティブでした。

In total, Recorded Future’s unique coverage enabled us to observe 23 attempted connections to the same compromised CentOS server between May and June 2018. Every attempt originated from the same IP, 166.111.8[.]246, which resolved to the China Education and Research Network Center. WHOIS records reveal that the IP sits within a large /16 CIDR range registered to an address at “Tsinghua University.”

以下のPCAPに示すように、Tsinghua IPからチベットネットワークに接続しようとするすべてのパケットで、TCPヘッダーのオプションが最大セグメントサイズ60バイトに設定されたことが観察されました。

清華IPから侵害されたチベットのCentOSサーバーへの接続試行のPCAP。

「ext4」コードは一意であるように見え、コードや名前の類似性についてオンラインで目立つ痕跡はありません。 私たちの提出物を除いて、2018年8月3日現在、主要なマルチスキャナーリポジトリで「ext4」の主要な特性に似たバックドアのアップロードは観察されていません。 VirusTotalの検出率が0/58であることから、発見された「ext4」サンプルは、チベット人コミュニティを標的とした新しいユニークなバックドアであることが確認されました。

「ext4」バイナリの詳細な分析は、このレポートの テクニカル分析 セクションにあります。

Tsinghua University IP 166.111.8[.]246

複数のIPエンリッチメントソースによると、このIPは2018年3月23日にRecorded Futureで初めて観測され、中国教育研究ネットワークセンター(CERNET)に解決されました。 CERNET は、中国の6つの主要なバックボーンネットワークの1つであり、中国の学術研究機関向けに予約されたアドレス指定可能なIPスペースの大部分を提供する包括的な組織です。 前述のように、WHOISの記録では、IPが「清華大学」に登録された範囲内にあることが確認されています。

Available port scan data revealed that the IP is currently configured with several actively running services, including PPTP (TCP port 1723), MySQL (3306), and MAMP (8888), as well as the more common OpenSSH (22), HTTP (80, 8080, 8008), SSL (443, 8443, 9443), and VPN IKE (500) services, among others. The HTTP ports appeared to be configured as NGINX web servers, likely as reverse proxies or load balancers, given the nature of the activity we have observed from this IP. The large number of open ports and associated services indicate that the Tsinghua IP may be an internet gateway or VPN endpoint.

Recorded Future Intelligence Card™ for Tsinghua IP 166.111.8[.]246.

このIPの将来の エンリッチメント の記録は、過去にスキャン、ブルートフォース攻撃、および積極的な悪用の試みのソースであったことを示しています。 これは、中国発の悪意のあるサイバー指標を追跡する台湾の台中市教育局によってフラグが立てられ、AlienVaultのブラックリストに表示されるなど、いくつかのリスクルールを引き起こしました。 さらに、IP のメタデータ分析は、ゲートウェイ、NAT、またはプロキシである可能性が高く、このアクティビティの真の発信元マシンがこの IP の背後にあることを示しています。

同じIPアドレスは、当時中国の国有企業との主要な貿易協議に関与していた組織の大規模なネットワーク偵察も行っていることが観察されました。 これらの偵察活動は、中国の戦略的および経済的利益と広く一致しているため、偶然ではないと考えています。

「オポチュニティ・アラスカ」

2018年4月6日から6月24日の間に、清華IPとアラスカのいくつかのネットワークとの間には、次のような100万を超えるIP接続が観測されました。

• アラスカ通信システムグループ
• アラスカ州天然資源局
• アラスカ・パワー・アンド・テレフォン・カンパニー
• アラスカ州政府
• TelAlaska (英語)

The vast number of connections between the Tsinghua IP and the above organizations relate to the bulk scanning of ports 22, 53, 80, 139, 443, 769, and 2816 on the Alaskan networks and were likely conducted to ascertain vulnerabilities and gain illegitimate access. The scanning activity was conducted in a systematic manner with entire IP ranges dedicated to the organizations probed for the above ports.

アラスカ州政府に対するこのターゲティングは、「オポチュニティ・アラスカ」と呼ばれるアラスカの中国への大規模な貿易使節団に続くものだった。 この貿易使節団は5月下旬に行われ、アラスカ州知事のビル・ウォーカーが主導した。 これらの会談では、 アラスカと中国の間のガスパイプラインの見通しをめぐって、最も注目を集めた議論の1つが行われた。 中国と米国の貿易戦争の恐れにもかかわらず、ウォーカー知事の事務所は、貿易使節団は「アラスカが提供する最高のもののいくつかを代表しており、...私たちの最大の貿易相手国と共有する利益の広い範囲を[強調]しました。」オポチュニティ・アラスカは、漁業、観光、建築、投資業界のアラスカ企業からの代表者で構成され、北京、上海、成都に立ち寄りました。

2018年5月にアラスカの中国貿易代表団が同時期にアラスカの機関を対象にTsinghua IPが実施したネットワーク調査イベント。

Recorded Futureは、ウォーカー知事が中国への貿易代表団を発表してからわずか数週間後の3月下旬に、アラスカのネットワークに対するスキャン活動を初めて観測しました。 この活動は、2018年5月20日に代表団が到着する数日前から再開され、代表団が到着すると中断されました。 アラスカのネットワークの調査は、代表団が活動を終了した5月28日まで低水準にとどまり、その後、代表団が中国を離れるにつれて大幅に増加した。 関連トピックに関する貿易議論の終了時にスキャン活動が急増したことは、この活動が、旅行に対するアラスカの視点と訪問後の交渉における戦略的優位性についての洞察を得る試みであった可能性が高いことを示しています。

6月20日から6月24日にかけて、アラスカ州とアラスカ州天然資源局のネットワークに対する関心がさらに高まった。 これは、ウォーカー知事が6月19 日にワシントン D.C.を訪問し、米中両国間の貿易紛争の深刻化に対する懸念を表明するため、米国と中国の当局者と会談する意向を表明したことに対する反応だった可能性がある。

「一帯一路構想」と中国の経済目標

調査の過程で、清華社のIPスキャンポートも観察し、モンゴル、ケニア、ブラジルの政府部門や商業団体のネットワークを調査しました。 これらの国々はそれぞれ、中国の一帯一路構想の一環として、主要な投資先である。

中国の一帯一路構想 (BRI)は、習近平国家主席の最も野心的なプログラムの1つです。 中国の変革的な地政学的影響力を世界中に投影することを想定したこのプロジェクトの規模と範囲は前例のないものです。中国政府は、世界人口の70%、世界のエネルギー埋蔵量の75%に影響を与える65カ国のインフラ・開発プロジェクトに4兆ドルの投資を約束している。 この計画は、ユーラシアの主要な経済の中心地を陸と海でつなぐように設計されており、その多くは歴史的に2000年前の古代シルクロードに役立っていました。

ディプロマット紙によれば、BRIは「一帯一路は、中国の西側周辺地域を安定させ、経済を再燃させ、非西側諸国の国際経済機関を推進し、他国で影響力を獲得し、貿易供給者/ルートを多様化する一方で、米国のアジアへの軸足を回避することを目指している」という。

中国の一帯一路構想。 出典:メルカトル大学中国研究所、merics.org 年

BRIはまた、アフリカ大陸全体で行われた大規模なインフラ投資を活用して、アフリカにおける中国の地政学的・経済的影響力をさらに強化することも目指している。 特にケニアは、中国の「一帯一路構想」の海上関連要素である「海上シルクロード構想(MSRI)」における戦略的な地理的優位性により、注目を集めている。

今年初め、ケニアはBRIの下で地域プロジェクトに対してロビー活動を行う と発表 した。 中国はすでに、ケニアの港湾都市モンバサと首都ナイロビを結ぶ 480キロメートルの鉄道 に資金を提供している。この鉄道は、最終的には近隣諸国のウガンダ、ルワンダ、ブルンジ にも延伸する予定です 。 しかし、2018年5月、ケニアは東アフリカ共同体(EAC)諸国と協議していた中国との自由貿易協定 に署名しないと発表 し、北京とナイロビの間の緊張が高まった。

In early June 2018, we observed the Tsinghua IP address aggressively scanning ports 22, 53, 80, 389, and 443 of various Kenyan internet-hosting providers and telecommunications companies, as well as ranges dedicated to the Kenya Ports Authority, a state corporation responsible for the maintenance and operation of all of Kenya’s seaports. Recorded Future also identified network reconnaissance activities directed at the United Nations Office in Nairobi, Kenya’s Strathmore University, and a broader national education network.

下のグラフは、清華 IP のケニアの組織に対するネットワーク偵察活動が明らかに急増していることを示しています。 この急増は、ケニアが中国とEACの自由貿易協定を支持しない意向を発表してからわずか2週間後に発生しました。

2018年3月から2018年6月にかけて、清華知的財産がケニアの機関を対象に実施したネットワーク偵察イベントと、中国とケニアの主要な経済動向を重ね合わせた。

今年4月、 習近平国家主席 は、BRIから中国のインフラ投資を受ける国のリストにブラジルを追加しました。 北東部のマラニョン州に5億2,000万ドルを投じて新港を建設するための資金提供が発表されました。これは、 2016年に中国がブラジルの別の州であるアマパの教育およびエネルギー部門に行った大規模な投資を基にしています。

私たちの調査では、北京に拠点を置くChina Communications Construction Co.がマラニョン港の建設を開始してからわずか1か月後の2018年4月2日から6月11日にかけて、清華社がブラジルのアマパ省(アマパ国務省)に接続しようと試みたことが明らかになりました。

また、2018年4月6日から4月12日にかけて、モンゴル国立データセンタービルやモンゴル科学技術大学などの組織ネットワークへの接続が繰り返し試みられたことが確認されました。 モンゴルは中国のBRI計画でも重要な役割を果たしている。シルクロード経済ベルト(SREB)として知られるBRIの陸路部分は、 新たなユーラシア陸橋 と、中国-モンゴル-ロシア回廊を含む5つ以上の新たな経済回廊を提案している。

ケニア、ブラジル、モンゴルの清華IPプローブネットワークから観測された一貫した偵察活動は、BRIの経済開発目標と密接に一致しており、このIPを使用する脅威アクターが中国国家のためにサイバースパイ活動に従事していることを示していると、中程度の信頼性で評価しています。

清華大学の知的財産活動の将来のタイムラインをオポチュニティ・アラスカと相関させ、BRIの主要な発表と関連づけて記録しました。

米国と中国の貿易摩擦の高まりの影響

On June 20, 2018, German multinational automotive corporation Daimler AG was the first prominent company to cut its profit outlook due to the escalating trade tensions between the U.S. and China. The next day, on June 21, we observed network reconnaissance activity specifically targeting ports 139, 22, 443, and 53 on networks resolving to Daimler AG. The probes originated from the same Tsinghua University IP.

Tsinghua IP probing Daimler AG networks on ports 139, 22, 443, and 53 between June 20 to 24, 2018.

米国のマネージドホテルネットワークソリューションプロバイダーとの相互作用

清華 IP に対する Shodan クエリは、HTTP 302 応答を返し、"snap.safetynetaccess.com" リダイレクト通知。 マサチューセッツ州ニーダムに拠点を置く Safety NetAccess は、ホテル、リゾート、その他の公共施設向けのワイヤレスネットワークを構築しています。その顧客には、ヒルトン、マリオット、ソネスタ、ウィンダムのホテルチェーンが含まれます。 Safety NetAccessのWebサイトによると、SNAPは、Safety NetAccessのエージェントに「任意の場所にあるすべての管理機器への直接アクセス」を提供する「高度なバックエンドソフトウェアプログラム」です。 リダイレクト通知内のフィールドはわかりにくいように見えるかもしれませんが、Safety NetAccessのプライマリゲートウェイおよびルーティング機器プロバイダーであるNomadixインターネットゲートウェイのポータルページパラメータに対応しています。

Shodan query reveals Tsinghua IP 166.111.8[.]246 “subscribed” to a Safety NetAccess portal.

The HTTP header response (above) showed that the Cox Communications IP 98.180.88[.]145 was originally requested by the “subscriber” (SIP), the Tsinghua IP 166.111.8[.]246. Navigating to the Cox Communications IP redirects users to a Safety NetAccess guest internet portal at a Holiday Inn hotel based in Ocala, Florida.

フロリダ州オカラのホリデイインの安全NetAccessポータルログイン。

Breaking down the URL in the “Location” field in the HTTP response gives us the MAC address of the Tsinghua device (00:13:5F:07:87:D9), and the IP address of the Nomadix device (68.105.161[.]74), shown as UIP in the URL. The UIP resolves to Cox Communications in Ocala, Florida, and open-source research indicates that the device hosting this UIP is an AG 3100 Nomadix rack-mounted internet gateway, supporting DNS and HTTP redirection using a magic IP. This UIP also appears to be running a vulnerable WindWeb server on port 443. Shodan results show failed FTP login attempts to the internet gateway, as well as Telnet events.

入手可能な限られたデータから、Tsinghua IPは、フロリダのホリデイ・インホテルに対してSafety NetAccessのSNAPポータルによって可能になったリモート管理アクセス制御を活用しようとしていたと、低い信頼性で評価しています。

「ext4」バックドアは清華社IPと関連していますか?

チベットのデバイスで「ext4」バックドアが発見されたことで、清華大学のIPからデバイスをより広範囲に標的にしていることを特定することができました。 しかし、清華社からチベットのデバイスへの接続が試みられたものの、バックドアのアクティベーションに成功したものはなく、広範なネットワーク偵察活動の背後にいる脅威アクターが「ext4」バックドアにも関与しているかどうかは不明です。

そのため、チベットのネットワークに「ext4」バックドアがTsinghua IPに関与していることを説明する2つのシナリオが考えられます。

• Tsinghua IPは、脅威アクターが「ext4」バックドアにアクセスするために使用されていますが、技術的な障害やオペレーターのエラーにより、バックドアとの通信を確立するために必要なTCP接続パケットの設定に誤りがあります。
• 清華社の知的財産は、中国がBRIの下で関与している国だけでなく、チベットネットワークなどの「ファイブポイズ^ン2」組織も対象とする、戦略的な経済的および国益に対するネットワーク偵察やサイバースパイ活動を行うために広く使用されています。 したがって、「ext4」バックドアは、このレポートで前述した組織に対するネットワークスキャン活動に関与していない別の脅威アクターに属している可能性があります。

技術的分析

「ext4」バックドア

「ext4」バックドアの主な特徴。

「ext4」は、清華大学のIP偵察活動が観測されたのと同じ時期(2018年5月から6月)に被害者のネットワーク上に存在していた新しいLinuxバックドアです。 この期間中に、清華社のIPからTCP 443経由で被害者のデバイスに接続しようとする試みが合計23回行われました。

「ext4」バックドアは、チベット人コミュニティと提携している侵害されたCentOSウェブサーバー上の正当なシステム「cron」ファイル内で実行されていることが確認されました。 変更されたシステムファイルを分析したところ、「0anacron」の「cron」ファイルは、侵害されたサーバーの/usr/bin/ext4ディレクトリにある「ext4」と呼ばれる非標準のバイナリを実行するように変更されていたことがわかりました。 バイナリは、毎時実行するように設定されており、興味深いことに、バックグラウンドプロセスとして実行されています。 これにより、Linuxターミナルの標準出力に出力が表示されないようになるため、Webサーバーの管理者にとって検出されにくくなります。

etc/cron.hourly/0anacron を変更しました "ext4" バックドア機能を含むスクリプト。

「ext4」バイナリは比較的小さく、わずか9511バイトで、単純な関数で構成されていました。 これは、Unix システムに存在する libpcap ライブラリに動的にリンクされており、「ネットワークスニファー」が通常使用するパケット (pcap ファイル) のキャプチャを可能にしました。

バックドアの操作を駆動する主な機能は、「メイン」、「プロセス」、「my_pcap_handler」の3つでした。 これらの機能はすべて一緒に流れて、バックドアの主要な機能を実行します。

主な機能

メイン機能は、ファイル「tmp/0baaf161db39」の削除、バックドア機能を実行する子プロセスの作成、スリープタイマーの180秒の設定という3つの中心的なタスクを実行しました。 スリープ タイマーの制限に達すると、プロセスは終了します。

さらに、main 関数はコマンドライン引数もチェックして、侵害されたネットワーク上で監視するネットワークインターフェイスを決定しました。 デフォルトでは、"ext4" は "eth0" を使用していました。

プロセス機能

プロセス関数の主な目的は、libpcap関数「pcap_open_live」を使用してネットワークトラフィックをキャプチャするためのハンドルを作成することでした。

ハンドルが作成されると、別の libpcap 関数 "pcap_loop" が実行され、"pcap_open_live" で指定されたインターフェイスに送信されたすべてのパケットを処理し、それらを関数 "my_packet_handler" に送信して、送信されたパケットの種類に基づいて解析してアクションを実行しました。

「my_packet_handler」機能

指定されたネットワークインターフェースに送信されたすべてのパケットは、「my_packet_handler」機能によって受信されました。 次に、ハンドラは、Ethernet、IP、およびTCP^{ヘッダー3} を解析して、処理する予定のパケットであるかどうかを検証するための一連のチェックを実行した。 検証が完了すると、この関数はペイロードをデコードしました。ペイロードは、通常は侵害されたCentOSホスト上のbashシェルに供給されるコマンドです。

次の手順は、関数が正しいパケットを処理したことを確認するために使用した解析と検証の基準を示しています。 いずれかの時点で関数が予期しない結果を受け取った場合、パケットは関数からドロップされ、次のパケットが処理されます。

• イーサネットヘッダーをチェックして、タイプがIP(タイプ2048)であることを確認します。
• IP ヘッダーの長さは、IP ヘッダーから解析されます。
• IP ヘッダーを解析して、プロトコルが TCP (タイプ 6) であることを確認します。
• TCP ヘッダーを解析して、宛先ポートが 443 であることを確認します。
• データ オフセットまたはペイロードの開始を見つけます。
• TCP フラグが 322 に等しく、NS (Nonce Sum)、ECE (ECN-Echo)、および SYN フラグが設定されていることを確認します。

フラグの内訳は、設定される SYN と ECE、および NS フラグを検索するため、重要です。 NS フラグは、TCP 送信者からのマークされたパケットの偶発的または悪意のある隠蔽から保護するために使用されます。

ECE フラグは、TCP ピアが ECN (Explicit Congestion Notification) と互換性があるかどうかを示す役割を果たします。 ECN は、輻輳によるパケットのドロップを防ぐ TCP のオプションの拡張機能です。 ECN の使用は、ECN 対応ルーターを持つ大企業では正常である可能性がありますが、NS ビットの使用は実験的なものであり、TCP 実装では公式には使用されていません。

パケットがすべての基準を満たすと、関数はペイロードの長さを取得し、5 バイトから 1024 バイトの間であることを確認します。 その後、メモリを割り当て、ペイロードをメモリに保存します。

ペイロードは XOR エンコードされ、ペイロードの最初のバイトは XOR キーです。 この関数は、ペイロードの最初のバイトを使用して次の5バイトをデコードし、それらが文字列「anti:」と等しいかどうかを確認します。

デコードされたバイトが "anti:" と等しい場合、ペイロードの残りの部分がデコードされ、execl 呼び出しを使用して bash コマンドを実行するための最終引数として渡されます。

今後の展望

中国は、国内の安定に対する脅威を監視・追跡するためにサイバー作戦を引き続き使用しており、これは「五毒」と端的に要約されている。 このように国内の脅威に焦点を当てることで、セキュリティ研究者は、迫害されたコミュニティに対して積極的に使用されている新しいキャンペーンやツールを特定できます。 「ext4」は、脅威アクターが侵害されたデバイスにアクセスし、さらに悪意のある活動を行うことができるように設計された、洗練された軽量のLinuxバックドアです。 これは、おそらく中国の国家主体がチベット人コミュニティを標的にするために使用しているツールの一例でもあります。

さらに、CentOSサーバーが広く使用されており、その多くはパッチが適用されておらず、本番システムで使用されており、潜在的な攻撃対象領域の幅広さを浮き彫りにしています。

中国の「一帯一路」構想と アフリカのインフラへの長期投資 により、中国はこれらの政策の対象となる国々で 大きな影響力を行使 することができた。 私たちは、清華大学のインフラストラクチャから発せられ、ケニア、モンゴル、ブラジルの経済的利益を狙った広範なネットワーク偵察活動は、国家主導であると中程度の確信を持って評価しています。

中国は、自国の経済的利益を支援するために、サイバースパイ活動を繰り返し行ってきた。 2017年11月、司法省は、経済サイバースパイの罪で有罪となった 3人の中国人ハッカーを起訴しました 。 さらに、米国国家防諜安全保障センター(National Counterintelligence and Security Center)は、 サイバースペースにおける対外経済スパイ活動に関する最近の報告書で、中国の脅威アクターであるAPT10、KeyBoy、Temp.Periscopeが、戦略的な国家的および経済的利益を支援するために広範なサイバースパイ活動を行ったと強調しています。

チベット人コミュニティを標的とした「ext4」バックドアの発見以外に、このレポートで文書化された組織ではマルウェアの存在は確認されていません。これは、分析の大部分がサードパーティのメタデータに基づいていたためです。 しかし、中国とアラスカ、ケニア、ブラジル、モンゴルのカウンターパートとの間の二国間貿易および戦略的対話の期間中にネットワークを標的としたスキャンとプローブを行ったことは、その活動が中国国家の指示を受けた脅威アクター(または同じ清華エンドポイントにアクセスできる複数の脅威アクター)によって行われていることを示していると、中程度の信頼性で評価しています。

ネットワーク防御に関する推奨事項

Recorded Futureは、このレポートで詳述されている中国の脅威アクターによる敵対的なネットワーク偵察やCentOSバックドアの展開の可能性に対して防御する際に、組織が次の対策を講じることを推奨しています。

• Configure your intrusion detection systems (IDS) and intrusion prevention systems (IPS) to alert and block connection attempts from Tsinghua University IP 166.111.8[.]246.
• 「ext4」バックドアに対して提供されたYaraルールを使用して、ネットワーク上の任意のLinuxホストのスキャンを実行して、バックドアの存在を確認します。
• If applicable, ensure the “ext4” Yara rule is deployed to the endpoint protection appliance used in your organization. Scan Linux hosts for the presence of the “/usr/bin/ext4” and “/tmp/0baaf161db39” files.

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

• すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
• 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
• システムの定期的なバックアップを作成し、バックアップをオフライン (できればオフサイト) に保存して、ネットワーク経由でデータにアクセスできないようにします。
• 綿密なインシデント対応とコミュニケーション計画を立てる。
• 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできるユーザーがアクセスできるデータを確認します (たとえば、デバイスやフィッシングによるアカウントの乗っ取りなど)。 ロールベースのアクセスの導入、全社的なデータアクセスの制限、機密データへのアクセスの制限を強く検討します。
• ホストベースの制御を採用する — 攻撃を阻止するための最良の防御策と警告信号の 1 つは、クライアントベースのホストロギングと侵入検知機能を実行することです。
• ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
• パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。

付録を参照してこの分析の PDF 版のの完全なリストをご覧ください、関連する侵害の指標