記録された将来の研究は、APT3の背後にある中国国家安全部を結論付けています

記録された将来の研究は、APT3の背後にある中国国家安全部を結論付けています

insikt-group-logo-alt.png

研究者が国家安全保障省に高い信頼度を持つ脅威アクターグループを特定できたのは、これが初めてです。

Key Takeaways

はじめに

5月9日、「intrusiontruth」と名乗る謎のグループが、APT3サイバー侵入の背後にいるグループとして中国国家安全部(MSS)の 請負業者 を特定しました。

chinese-mss-behind-apt3-1.png

APT3被害者の未来のタイムラインを記録しました。

chinese-mss-behind-apt3-2.png

「intrusiontruth in APT3」のブログ記事のスクリーンショット。

「Intrusiontruth」は、Pirpiと呼ばれるAPT3ツールが使用するドメインと、広州博宇情報技術有限公司(Boyusecとしても知られる)という中国の情報セキュリティ企業の2人の株主との歴史的なつながりを記録したものです

chinese-mss-behind-apt3-3.png

マルウェアPirpiにリンクされたドメインの登録情報。 詳細は、ドメインがDong HaoとBoyusecに登録されたことを示しています。

APT3は従来、MSSに代わって情報収集要件を満たす可能性が高い、幅広い企業やテクノロジーを対象としてきました(以下の調査を参照)。 Recorded FutureはAPT3を綿密に追跡しており、MSSがグループによって行われた侵入活動に関与していることを裏付ける追加情報を発見しました。

chinese-mss-behind-apt3-4.png

APT3用のフューチャーインテリジェンスカードを™収録しました。

背景

APT3 (UPS、Gothic Panda、TG-011 とも呼ばれます) は、 少なくとも 2010 年から活動している高度な脅威グループです。APT3 は、スピアフィッシング攻撃、ゼロデイ エクスプロイト、多数のユニークで公開されているリモート アクセス ツール (RAT) など、幅広いツールと手法を利用します。APT3 侵入の被害者には、防衛、電気通信、運輸、先端技術分野の企業のほか、香港、米国、その他いくつかの国の政府部門や局が含まれます。

解析

Boyusecのウェブサイトで、同社は協力して提携している2つの組織、 ファーウェイ・テクノロジーズと広東情報技術セキュリティ評価センター (または広東ITSEC)を明確に特定しています。

chinese-mss-behind-apt3-5.png

ファーウェイと広東ITSECがいるBoyusecのWebサイトのスクリーンショット
協力パートナーとして特定されます。

2016年11月、 ワシントン・フリー・ビーコン 紙は、 国防総省の内部諜報報告 書がボウセックとファーウェイが共同で生産していた製品が暴露されたと報じた。国防総省の報告書によると、両社は協力して、中国の諜報機関が「データをキャプチャし、コンピューターや通信機器を制御する」ことを可能にするバックドアを含むセキュリティ製品を製造していたという。記事は、ボウセツ氏とMSSは「密接に関係している」と述べ、ボウセツ氏はMSSの隠れ蓑会社であるようだと述べている政府関係者やアナリストの発言を引用している。

chinese-mss-behind-apt3-6.png

Imagery ©2017 DigitalGlobe, Map data ©2017 (英語)

Boyusecは、中国広州市のHuapu Square West Towerの1103号室にあります。

Boyusecと他の「協力パートナー」である広東ITSECとの取り組みは、あまり文書化されていません。 以下で説明するように、Recorded Futureの調査によると、広東ITSECはMSSが運営する中国情報技術評価センター(CNITSEC)という組織に従属しており、Boyusecは2014年から広東ITSECと協力して共同のアクティブ防衛研究所に取り組んでいると結論付けています。

Guangdong ITSECは、CNITSECによって 認定 および管理されているセキュリティ評価センターの全国ネットワークの1つです。中国 の国営メディアによると、広東省ITSECは2011年5月にCNITSECの16番目の全国支部となった。広東省 ITSEC のサイトは、ヘッダーに CNITSEC の 広東省事務所 として記載されています。

China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain に掲載された学 術研究 によると、CNITSECはMSSによって運営されており、諜報機関のサイバーに関する技術的専門知識の多くを収容している。CNITSECは、MSSが「脆弱性テストとソフトウェアの信頼性評価を実施」するために使用しています。2009年の米国国務省の電報によると、中国はCNITSECの活動から派生した脆弱性を諜報活動に利用する可能性があると考えられている。CNITSECの所長であるWu Shizhongは、2016年1月には中国の国家情報セキュリティ基準委員会の副委員長としての仕事を含め、MSSを自認しています。

Recorded Futureの調査では、jobs.zhaopin.com などの中国語の求人サイトでいくつかの求人広告を特定しました。 jobui.com、 そして2015年から kanzhun.com、Boyusecは2014年に広東ITSECと共同で設立された共同アクティブ防衛研究所(ADULと呼ばれる)を明らかにしました。 Boyusec氏は、共同ラボの使命は、リスクベースのセキュリティ技術を開発し、ユーザーに革新的なネットワーク防御機能を提供することであると述べました。

chinese-mss-behind-apt3-7.png

Boyusecが広東ITSECとの共同ラボを強調している求人情報。 翻訳されたテキストは、「2014年、広州博宇情報技術会社と広東ITSECは緊密に協力して、共同アクティブ防衛研究所(ADUL)を設立しました。」

結論

APT3のライフサイクルは、MSSが人間の領域とサイバー領域の両方で運用を実行する方法を象徴しています。中国諜報機関の学者によると、MSSは国、省、地方の要素で構成されている。これらの要素の多くは、特に州および地方レベルで、MSS諜報活動の隠れ蓑として機能する 有効な公的使命 を持つ 組織 を含んでいます。これらの 組織 には、 CICIRなどのシンクタンクが含まれるものもあれば、州レベルの政府や 地方自治体を含む組織もあります。

APT3とBoyusecの場合、このMSS運用概念は、サイバー活動とライフサイクルを理解するためのモデルとして機能します。

chinese-mss-behind-apt3-8.jpg

MSS と APT3 の関係を示すグラフィック。

インパクト

その意味は明確で広範囲に及びます。Recorded Future の調査により、APT3 は中国国家安全部と Boyusec によるものであると高い自信を持って判断されました。ボウセックには、悪意のあるテクノロジーを生み出し、中国の諜報機関と協力した 経歴が記録されている

APT3は、MSSに直接高い信頼度で帰属した最初の脅威アクターグループです。 APT3の被害を受けたセクターの企業は、中国政府のリソースとテクノロジーから身を守るための戦略を調整する必要があります。 この現実のダビデ対ゴリアテの状況では、お客様はスマートなセキュリティ制御とポリシー、および実用的で戦略的な脅威インテリジェンスの両方を必要としています。

APT3は、悪意のあるサイバー活動に従事する単なるサイバー脅威グループではありません。調査によると、ボユセックはMSSの資産であり、その活動は中国の政治的、経済的、外交的、軍事的目標を支援しています。

MSSは、州や党の指導部から情報収集の要件を導き出しており、その多くは5カ年計画と呼ばれる政府の公式指令で5年ごとに広く定義されている。APT3の被害者の多くは、グリーン/代替エネルギー、防衛関連の科学技術、生物医学、航空宇宙など、最新の 5カ年計画で強調された分野に陥っています。