Insiktレポート

記録された将来の研究は、APT3の背後にある中国国家安全部を結論付けています

投稿: 2017年5月17日
作成者 : Insikt Group

insikt-group-logo-alt.png

研究者が国家安全保障省に高い信頼度を持つ脅威アクターグループを特定できたのは、これが初めてです。

Key Takeaways

  • APT3は、中国国家安全部(MSS)に高い信頼度で直接帰属した最初の脅威アクターグループです。

  • 5月9日、「intrusiontruth」と呼ばれる謎のグループは、APT3を中国の広州に拠点を置くGuangzhou Boyu Information Technology Companyという会社に帰しました。

  • Recorded Futureのオープンソースの調査と分析は、Boyusecとしても知られる同社が中国国家安全部に代わって取り組んでいることを裏付けています。

  • お客様は、APT3 と判明している、または疑われる侵入アクティビティと、関連するマルウェア ファミリからのすべてのアクティビティを再調査し、セキュリティ制御とポリシーを再評価する必要があります。

はじめに

5月9日、「intrusiontruth」と名乗る謎のグループが、APT3サイバー侵入の背後にいるグループとして、中国国家安全部(MSS)の 請負業者 を特定しました。

chinese-mss-behind-apt3-1.png

APT3被害者の未来のタイムラインを記録しました。

chinese-mss-behind-apt3-2.png

「intrusiontruth in APT3」のブログ記事のスクリーンショット。

「Intrusiontruth」は、PirpiというAPT3ツールと、広州博宇情報技術有限公司(Boyusecとも呼ばれる)という中国の情報セキュリティ企業の 2人の株主 が使用したドメイン間の歴史的なつながりを文書化しました。

chinese-mss-behind-apt3-3.png

マルウェアPirpiにリンクされたドメインの登録情報。 詳細は、ドメインがDong HaoとBoyusecに登録されたことを示しています。

APT3は従来、MSSに代わって情報収集要件を満たす可能性が高い、幅広い企業やテクノロジーを対象としてきました(以下の調査を参照)。 Recorded FutureはAPT3を綿密に追跡しており、MSSがグループによって行われた侵入活動に関与していることを裏付ける追加情報を発見しました。

chinese-mss-behind-apt3-4.png

APT3用のフューチャーインテリジェンスカードを™収録しました。

背景

APT3(UPS、Gothic Panda、TG-011とも呼ばれます)は、 少なくとも2010年から活動している高度な脅威グループです。 APT3は、スピアフィッシング攻撃、ゼロデイエクスプロイト、公開されている多数のユニークなリモートアクセスツール(RAT)など、幅広いツールと手法を利用しています。 APT3の侵入の被害者には、防衛、通信、運輸、先端技術分野の企業のほか、香港、米国、その他いくつかの国の政府部門や支局が含まれます。

解析

On Boyusec’s website, the company explicitly identifies two organizations that it cooperatively partners with, Huawei Technologies and the Guangdong Information Technology Security Evaluation Center (or Guangdong ITSEC).

chinese-mss-behind-apt3-5.png

HuaweiとGuangdong ITSECがあるBoyusecのWebサイトのスクリーンショット
コラボレーションパートナーとして識別されます。

2016年11月、 ワシントン・フリー・ビーコン は、 ペンタゴンの内部情報報告書 が、ボイユセックとファーウェイが共同で製造していた製品を暴露したと報じた。 国防総省の報告書によると、両社は協力して、中国の諜報機関が「データを取得し、コンピューターや通信機器を制御する」ことを可能にするバックドアを含むと思われるセキュリティ製品を製造していたという。 記事は、ボイユセックとMSSは「密接に関連している」と述べ、ボイユセックはMSSの隠れ蓑企業のように見えるという政府関係者やアナリストの言葉を引用しています。

chinese-mss-behind-apt3-6.png

Imagery ©2017 DigitalGlobe, Map data ©2017 (英語)

Boyusecは、中国広州市のHuapu Square West Towerの1103号室にあります。

Boyusecと他の「協力パートナー」である広東ITSECとの取り組みは、あまり文書化されていません。 以下で説明するように、Recorded Futureの調査によると、広東ITSECはMSSが運営する中国情報技術評価センター(CNITSEC)という組織に従属しており、Boyusecは2014年から広東ITSECと協力して共同のアクティブ防衛研究所に取り組んでいると結論付けています。

広東省ITSECは、CNITSECによって 認定 および管理されているセキュリティ評価センターの全国ネットワーク内の1つです。 中国の 国営メディアによると、広東ITSECは2011年5月にCNITSECの全国16番目の支部となった。 広東ITSECのサイトには、ヘッダーにCNITSECの 広東事務所 として記載されています。

学術研究 Politics in the Digital Domain 』に掲載された『China and Cybersecurity: Espionage, Strategy, and によると、CNITSECはMSSによって運営されており、諜報機関の技術的なサイバー専門知識の多くを収容している。CNITSECは、MSSが「脆弱性テストとソフトウェア信頼性評価を実施する」ために使用します。 2009年の米国国務省の公電によると、中国はCNITSECの活動から派生した脆弱性を諜報活動にも利用する可能性があると考えられている。CNITSECのディレクターであるWu Shizhong氏は、2016年1月に中国の国家情報セキュリティ基準委員会の副委員長としての仕事を含め、自らをMSSと認識しています。

Recorded Futureの調査では、jobs.zhaopin.com などの中国語の求人サイトでいくつかの求人広告を特定しました。 jobui.com、 そして2015年から kanzhun.com、Boyusecは2014年に広東ITSECと共同で設立された共同アクティブ防衛研究所(ADULと呼ばれる)を明らかにしました。 Boyusec氏は、共同ラボの使命は、リスクベースのセキュリティ技術を開発し、ユーザーに革新的なネットワーク防御機能を提供することであると述べました。

chinese-mss-behind-apt3-7.png

Boyusecが広東ITSECとの共同ラボを強調している求人情報。 翻訳されたテキストは、「2014年、広州博宇情報技術会社と広東ITSECは緊密に協力して、共同アクティブ防衛研究所(ADUL)を設立しました。」

結論

The lifecycle of APT3 is emblematic of how the MSS conducts operations in both the human and cyber domains. According to scholars of Chinese intelligence, the MSS is composed of national, provincial, and local elements. Many of these elements, especially at the provincial and local levels, include organizations with valid public missions to act as a cover for MSS intelligence operations. Some of these organizations include think tanks such as CICIR, while others include provincial-level governments and local offices.

APT3とBoyusecの場合、このMSS運用概念は、サイバー活動とライフサイクルを理解するためのモデルとして機能します。

  • Boyusecは、ウェブサイト、オンラインプレゼンス、および「情報セキュリティサービス」の使命を表明していますが、Huaweiと広東ITSECの2つのパートナーのみを挙げています。

  • Intrusiontruthと Washington Free Beacon は、Boyusecが中国の諜報機関に代わってサイバー活動を支援し、関与していると関連付けています。

  • Recorded Futureのオープンソース調査により、Boyusecのもう1つのパートナーはMSSの支部のフィールドオフィスであることが明らかになりました。 Boyusecと広東ITSECは、少なくとも2014年から協力して作業していることが記録されています。

  • 何十年にもわたる学術研究は、一見諜報任務を持たないように見える組織を、国家のあらゆるレベルでMSSの諜報活動の隠れ蓑として利用するMSSの運用モデルを実証している。

  • そのウェブサイトによると、Boyusecには2つの協力パートナーしかなく、そのうちの1つ(Huawei)は中国の諜報機関を支援するために協力しており、もう1つは広東ITSECで、実際にはMSSの支部のフィールドサイトです。

chinese-mss-behind-apt3-8.jpg

MSS と APT3 の関係を示すグラフィック。

インパクト

その意味するところは明確で広範です。 Recorded Futureの調査によると、APT3は中国国家安全部とBoyusecによるものだと確信しています。 ボユセックには、悪意のある技術を生み出し、中国の諜報機関と協力した 経歴が文書化 されています。

APT3は、MSSに直接高い信頼度で帰属した最初の脅威アクターグループです。 APT3の被害を受けたセクターの企業は、中国政府のリソースとテクノロジーから身を守るための戦略を調整する必要があります。 この現実のダビデ対ゴリアテの状況では、お客様はスマートなセキュリティ制御とポリシー、および実用的で戦略的な脅威インテリジェンスの両方を必要としています。

APT3は、悪意のあるサイバー活動に従事する単なるサイバー脅威グループではありません。調査によると、ボユセックはMSSの資産であり、その活動は中国の政治的、経済的、外交的、軍事的目標を支援しています。

MSSは、州や党の指導者から情報収集要件を導き出しており、その多くは5年ごとの政府の公式指令である「5カ年計画」で広く定義されています。 APT3の被害者の多くは、グリーン/代替エネルギー、防衛関連の科学技術、生物医学、航空宇宙など、最新の 5カ年計画で強調された分野に陥っています。

関連ニュース&研究