>
Insiktレポート

中国とつながりのあるグループRedEchoは、国境の緊張が高まる中、インドの電力セクターを標的にしています

投稿: 2021年2月28日
作成者 : Insikt Group

insikt-group-logo-updated-3.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

_Thisレポートでは、中国に関連する脅威活動グループであるRedEchoがインドの電力セクターを標的に実施したキャンペーンについて詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 データソースには、Recorded Future Platform、SecurityTrails、Spur、Farsight、および一般的なオープンソースのツールと手法が含まれます。 この報告書は、サイバースペースにおけるインドと中国の活動に関連する戦略的および運用上の情報に携わる個人にとって最も興味深いものとなるでしょう。

Recorded Futureは、侵入の疑いが公表される前に、影響を受けたorganizations._内のインシデント対応と修復調査を支援するために、適切なインド政府部門に通知しました

Executive Summary

2020年5月に発生した国境紛争により、世界で最も人口の多い2つの国の間で45年 ぶりに戦闘死 者が出たことで、インドと中国の関係は大幅に悪化している。 その結果、2021年1月12日、インドのスブラマニヤム・ジャイシャンカル外相は、インドと中国の間の信頼が「深く乱れている」 と発表 した。 外交と経済の要因は、国境での 二国間の撤退 など、本格的な戦争を防ぐのに効果的でしたが、サイバー作戦は、潜在的に破壊的な理由でネットワーク内でスパイ活動や事前配置を行うための強力な非対称能力を各国に提供し続けています。

2020年初頭以降、Recorded FutureのInsikt Groupは、中国の国家支援グループによるインドの組織に対する標的型侵入の疑いのある活動が大幅に増加していることを確認しました。 2020年半ば以降、Recorded Futureの中間コレクションでは、ShadowPadのコマンド&コントロール(C2)サーバーを包含するAXIOMATICASYMPTOTEとして追跡されるインフラストラクチャの使用が急増し、インドの電力セクターの大部分をターゲットにしていることが明らかになりました。電力需要と供給のバランスを取りながら電力網の運用を担当する5つの地域負荷発送センター(RLDC)のうち4つを含む、10の異なるインドの電力セクター組織が、インドの重要インフラに対する協調キャンペーンのターゲットとして特定されました。 特定された他の標的には、2つのインドの港が含まれていました。

プロアクティブな敵対者インフラストラクチャ検出、ドメイン分析、およびRecorded Future Network Traffic Analysisを組み合わせて、これらのAXIOMATICASYMPTOTEサーバーのサブセットは、 APT41 やTonto Teamなど、以前に報告された中国の国家支援グループといくつかの共通のインフラストラクチャ戦術、技術、および手順(TTP)を共有していることを確認しました。

以前のグループと重複する部分もあるものの、Insikt Groupは現在のところ、この特定のキャンペーンでの活動を既存の公開グループにしっかりと帰属させる十分な証拠があるとは考えていないため、密接に関連しているが別個の活動グループであるRedEchoとして追跡を続けています。

主な判断

  • インドの重要インフラを標的にすることは、限られた経済スパイの機会を提供する。しかし、中国の戦略的目標を支援するためのネットワークアクセスの事前配置の可能性について、大きな懸念を提起していると評価しています。
  • エネルギー資産への事前配置は、二国間の緊張が高まっている間の地政学的戦略的なシグナル伝達、影響工作の支援、またはキネティックエスカレーションの前兆として、いくつかの潜在的な結果をサポートする可能性があります。
  • RedEchoは強力なインフラストラクチャを備えており、被害者学は中国のグループAPT41/BariumおよびTonto Teamと重複していますが、ShadowPadは少なくとも5つの異なる中国のグループによって使用されています。
  • RedEchoが使用するAXIOMATICASYMPTOTEサーバーの異なるサブセットと数か月にわたって通信しているインドの重要インフラエンティティに解決されるIPが集中していることは、ターゲットを絞ったキャンペーンを示しており、Recorded Futureのネットワークテレメトリーでは、より広範なターゲットの証拠はほとんどありません。

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連