>
Insiktレポート

脅威活動グループRedFoxtrotは、中国の人民解放軍ユニット69010にリンクされています。アジア諸国と国境を接するターゲット

投稿: 2021年6月16日
作成者 : Insikt Group

insikt-logo-blog.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートでは、中国人民解放軍のUnit 69010に関連する、中国国家が支援する脅威活動グループが疑われるRedFoxtrotについて紹介しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 データ・ソースには、Recorded Future Platform、SecurityTrails、DomainTools、PolySwarm、Farsight、および一般的なオープンソースのツールと手法が含まれます。 この報告書は、サイバースペースにおける中国軍情報部隊の活動に関連する戦略的および運用上の情報収集に従事する個人や、中央アジアまたは南アジアに拠点を置くネットワーク防衛者にとって最も興味深いものとなるだろう。

Executive Summary

Recorded FutureのInsikt Groupは、RedFoxtrotとして追跡している中国国家支援の脅威活動グループが疑われるグループと、中国軍情報機関、特に新疆ウイグル自治区ウルムチにある中国人民解放軍(PLA)69010部隊とのつながりを特定しました。 この活動は、2015年に始まった大規模な組織再編後、中国国家安全部(MSS)の関連団体に公の報道が集中していた時期を追った中国人民解放軍の活動を垣間見ることができる。 

Unit 69010は、中国人民解放軍の情報・サイバー戦争部門である中国人民解放軍戦略支援部隊(SSF)ネットワークシステム部門(NSD)内の技術偵察局(TRB)の軍事部隊カバーデジグネーター(MUCD)である可能性が高い。 RedFoxtrotのオペレーターと疑われる人物が採用した運用上のセキュリティ対策が緩かったため、Insikt Groupは脅威グループをUnit 69010の本部の物理的な住所に関連付けました。 公開されている調達文書と裁判所の文書は、69010部隊をこの住所とSSFの両方にさらに結びつけました。 また、複数の学術出版物が、このユニットがサイバーミッションを持っているという仮説を支持しています。 

RedFoxtrotは少なくとも2014年から活動しており、主に中央アジア、インド、パキスタンの政府、防衛、通信セクターを対象としており、Unit 69010の運用権限と一致しています。 特に注目すべきは、過去6か月以内に、Insikt Groupがインドの航空宇宙および防衛請負業者3社を標的としたRedFoxtrotネットワークへの侵入を検出したことです。アフガニスタン、インド、カザフスタン、パキスタンの主要な通信プロバイダー。そして地域全体の複数の政府機関。 RedFoxtrotは、大量の運用インフラストラクチャを維持しており、Icefog、PlugX、Royal Road、Poison Ivy、ShadowPad、PCShareなど、中国のサイバースパイグループが一般的に使用するカスタムメイドのマルウェアファミリと公開されているマルウェアファミリの両方を採用している可能性があります。 RedFoxtrotの活動は、Temp.TridentやNomad Pandaなどの他のセキュリティベンダーが追跡している脅威グループと重複しています。

  • 以前は蘭州軍区の第2技術偵察局として知られていた人民解放軍の69010部隊は、2015年の組織再編後、中国人民解放軍のネットワークシステム部門に組み込まれた可能性が非常に高い。
  • RedFoxtrotは、特定の人民解放軍ユニットとの関連が特定されていることや、中国のサイバースパイグループ特有と思われる共有カスタム機能の使用に基づいていることから、中国国家が支援する脅威活動グループであると考えています。
  • 2020年、RedFoxtrotは、他の複数の人民解放軍およびMSS関連の脅威グループとともに、ShadowPadバックドアにアクセスした可能性があります。
  • 2015年のリストラの余波で、以前に追跡されていた中国人民解放軍関連のサイバースパイグループに関連する活動は減少していますが、これはおそらく古い活動グループが解散または合併して新しいクラスターを形成したためと思われます。 Tonto Team、Tick、Naikon、RedFoxtrotなどの中国人民解放軍の疑いのあるグループによる活動が継続し、中国人民解放軍との関連が疑われる新たな脅威活動グループの出現により、Insikt Groupは、MSSのカウンターパートへの注目が高まっているにもかかわらず、中国人民解放軍関連グループは中国のサイバースパイ活動分野で依然として目立つ存在であると考えています。

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連