>
Insiktレポート

中国国家支援活動グループによるインドの電力網資産の継続的なターゲティング

投稿: 2022年4月6日
作成者 : Insikt Group

insikt-group-logo-updated-3.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートでは、中国の国家が支援していると思われる脅威活動グループがインドの電力セクターを標的に実施したキャンペーンについて詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 データ・ソースには、Recorded Future Platform、SecurityTrails、PolySwarm、Team Cymru の Pure Signal™、および一般的なオープン・ソース・ツールと手法が含まれます。 このレポートは、インドと中国のサイバー活動に関連する戦略的および運用上のインテリジェンスに従事する個人にとって最も興味深いものとなるでしょう。 Recorded Futureは、侵入の疑いが公表される前に、影響を受ける組織内のインシデント対応と修復調査を支援するために、適切なインド政府部門に通知しました。 Dragosの同僚たちに、早期の共有と協力に感謝します。

Executive Summary

2021 年 2 月、Recorded Future の Insikt Group は、インドの電力網内の運用資産を標的とした侵入活動について 報告 しました。これは、RedEcho として追跡している中国の国家支援型脅威活動グループによるものと思われるとされています。 RedEchoのレポート公開後、しばらく小康状態になった後、中国とつながりのある敵対者によるインドの電力網組織に対する継続的な標的化が、頻繁に非公開のモジュール式バックドア「ShadowPad」を使用していることが確認されました。 ShadowPadは、中国人民解放軍(PLA)や国家安全部(MSS)と関係のあるグループによってますます多く採用されており、その起源は、最初にこのツールを自分たちの業務で使用し、後にデジタルクォーターマスターとして活動する既知のMSS請負業者に関連しています。 

ここ数か月で、これらの各州内でグリッド制御と電力供給のリアルタイム運用を実行する責任がある少なくとも7つのインド州負荷発送センター(SLDC)を標的としたネットワーク侵入の可能性が観測されました。 特に、このターゲティングは地理的に集中しており、特定されたSLDCは北インド、ラダックの係争中のインドと中国の国境に近接しています。 これらの SLDC の 1 つは、以前の RedEcho アクティビティでも標的にされていました。 しかし、この最新の侵入は、ほぼ完全に異なる被害者組織で構成されています。 電力網資産を標的にすることに加えて、同じ脅威活動グループによる国家緊急対応システムと多国籍物流企業のインド子会社の侵害も特定しました。 これを達成するために、このグループは、Shadowpadマルウェア感染のコマンド&コントロール(C2)や、オープンソースツールの FastReverseProxy(FRP)の使用のために、インターネットに接続されたDVR/IPカメラデバイスを侵害し、採用したと思われます。

2021年2月からインドと中国の間で部分的な兵力撤退が行われたにもかかわらず、インドの重要インフラに対する標的化が長引いたことで、中国の敵対国が実施している事前配置活動に対する懸念が引き続き高まっている。 この最新のアクティビティは、以前に特定された RedEcho アクティビティとターゲット設定と機能の一貫性を示していますが、いくつかの注目すべき違いもあります。 現時点では、RedEchoに起因すると考えられる技術的な証拠は特定されておらず、現在、この最新の活動をThreat Activity Group 38(TAG-38)という一時的なグループ名でクラスター化しています。

主な判断

  • 過去18か月間、最初はRedEchoから、そして今回の最新のTAG-38活動では、インドの州および地域のロードデパッチセンターを標的にしてきたことを考えると、この標的化は、インド国内で活動する中国の国家支援型脅威アクターにとって長期的な戦略的優先事項である可能性が高いです。
  • 中国の国家関連グループによるインドの電力網資産への長期にわたる標的化は、限られた経済スパイ活動や従来の情報収集の機会を提供していない。 このターゲティングは、重要インフラシステムを取り巻く情報収集を可能にすることを意図しているか、将来の活動のために事前に位置付けている可能性が高いと考えています。
  • 侵入の目的は、将来の使用のための能力開発を容易にするために、これらの複雑なシステムに対する理解を深めること、または将来の不測の事態に備えてシステム全体で十分なアクセスを得ることを含むかもしれません。

continued-targeting-of-indian-power-grid-assets-fig1.png 図1:高レベルのTAG-38 TTPとRecorded Futureデータソーシンググラフィック(出典:Recorded Future)

背景

continued-targeting-of-indian-power-grid-assets-fig2-1024x561.png 図2:インドを標的とした中国の国家支援グループと地政学的な出来事に関するInsiktの調査のタイムライン(出典:Recorded Future)

インドは、RedDelta、RedEcho、RedFoxtrot、TAG-28、およびその他のクライアント向け調査に関する過去のRecorded Futureレポートで詳述されているように、中国のサイバースパイ活動の主要な標的であり続けています。 2021年2月、ラダック地域での国境での膠着状態が長引いた後、 部分的な部隊の撤退に助けられて緊張は緩和されたが、それぞれの領土主張に関する州間の進展は限定的である。 

2021年2月のRedEcho レポート では、インドの地域負荷発送センター(RLDC)の5つのうち4つ、2つの港湾、大規模発電事業者、その他の運用資産を含む、10の異なる電力セクター組織の妥協点を強調しました。 これらの資産は、経済スパイやその他の従来の諜報ターゲットとしての価値が最小限であるため、中国の戦略的目標を支援するためにネットワークアクセスを事前に配置するという可能性のある目標を評価することになりました。 2021年2月のレポートに続いて、同グループが強調された運用インフラストラクチャを放棄し、インフラストラクチャの手口をシフトしていることがわかりました。 それにもかかわらず、中国の国家支援を受けたアクターが、インドの権力資産や重要インフラに関連する組織を標的にしている証拠が続いている。 これには、ShadowPadを使用したインドのマネージドサービスプロバイダー(MSP)および運用技術(OT)ベンダーのターゲティングが含まれ、これは最近のDragos レポートで説明されている活動と一致しています。 この特定のアクティビティは、Threat Activity Group 26 (TAG-26) として追跡する別のアクティビティ グループに帰属します。 TAG-26 は、ShadowPad、Poison Ivy、RoyalRoad RTF を武器化して、インドの複数の高価値組織を標的にしていることを確認しています。 

中国の活動グループ全体でのShadowPadの使用は、時間の経過とともに増加し続けており、バックドアを使用して新しい活動のクラスターが定期的に特定されるだけでなく、以前に追跡されたクラスターによる継続的な採用も行われています。 現時点では、ShadowPadにアクセスできる少なくとも10の異なる活動グループを追跡しており、ShadowPadはもともとAPT41(BARIUM)侵入セットにリンクされたMSS関連の請負業者によって開発および使用された可能性が高いと評価されています。

編集者注: この記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連