>
Insiktレポート

イエメン内戦の根底にある側面:インターネットの支配

投稿: 2018年11月28日
作成者 : Insikt Group

insikt-group-logo-updated.png

分析の全文をPDFでダウンロードするには、ここをクリックしてください

スコープ注:この調査のソースには、Recorded Futureプラットフォーム、Recorded Futureマルウェアの爆発、Citizen Lab、Shodan、VirusTotal、Censys、ReversingLabs、およびサードパーティのメタデータから得られた結果と方法が含まれます。 Recorded Futureは、イエメンの現在のIPランドスケープの定量化を支援してくれたRapid7とそのNational Exposure Indexに感謝します。 Recorded Futureは、Androidデバイスのマルウェアサンプルを分析するために製品を使用してくれた Joe Security にも感謝します。

Executive Summary

イエメン内戦が続く中、国内外の関係者がインターネット制御やその他のサイバー手段を通じて二次戦争を繰り広げている。 Recorded FutureのInsikt Groupは、イエメンのインターネットへのアクセス、使用、制御をめぐる闘争を通じて、イエメン内戦の力学がオンラインで現れていると評価しています。 Recorded Futureは、イエメン国内での検閲規制とそれらの規制を覆そうとするトラフィック、およびスパイウェア活動の両方を特定しました。 本レポートは、イエメンにおけるインターネット活動、インターネット利用、アクセスのベースラインを確立することを意図している。

主な判断

  • 2014年9月にイエメンの首都サヌアを奪取して以来、フーシ派反政府勢力は、主要なISPであるイエメンネットを監督してきたほか、過去3年間、インターネット活動を妨害、劣化、監視するために以前に使用されていたのと同じアクセス制御や検閲ツールも監視してきた。

  • Recorded Futureは、サヌア内のフーシ派反政府勢力が、YemenNetの広大なIPインフラを利用してCoinhiveのマイニングサービスをホストし、収益を上げていると中程度の確信度で評価しています。

  • 公式の政府サイトはYemenNetと.yeでホストされています ドメインスペースは、アデンのハディ政府ではなく、サヌアのフーシ派政府を反映するように変更されており、Recorded Futureは、最近まで500以上の公式.yeをホストしていたYemenNetのメインネームサーバーと複数のサーバー内のいくつかの脆弱性を指摘しています ドメイン。

  • ハーディー政権は、サヌアではなくアデンに拠点を置き、2018年6月に新たなISPであるAdenNetを創設した。 これは、インターネットサブスクリプションとモバイルサブスクリプションが増加し続けるため、国内での新たなインターネットレジリエンスにつながる可能性があると考えています。

  • イエメンのインターネットユーザーのうち、ごく一部が、政府の規制を回避するために、VPN、Tor、またはDNS再帰機能を備えたルーターを使用しています。

  • イエメン国外での疑わしいインターネット関連の活動は、アドウェアやスパイウェアのレベルが低いことを示唆していますが、その背後にいる攻撃者に関する情報は決定的ではありません。

  • 米国、ロシア、中国などの主要な国際的プレーヤーは、マルウェア、軍事活動、政治的影響力、投資を利用して、イエメン国内の覇権をめぐるサウジアラビアとイランの地域紛争への関心を高めています。

yemen-internet-activity-1-2.png

この分析のグラフ表示。

背景

イエメンは2015年以来、進行中の内戦に巻き込まれている。 イエメンはアラビア半島の他の地域に比べて比較的多文化であるため、紛争は宗派的、宗教的、政治的な分裂によって煽られています。 イエメンは、1962年から1970年までの 北イエメン での紛争や、1990年のイエメン統一に抵抗した後の 1994年の血なまぐさい戦争 など、複数の内戦に耐えてきた。 イエメンの元大統領アリ・アブドラ・サーレハは、国内でのあらゆる闘争について、国の 統治 を「蛇の頭の上で踊る」ようなものだと表現した。

現在の内戦は、 アラブの春 に端を発した 一連の血なまぐさい抗議行動 に端を発し、2011年にアリ・アブドゥッラー・サーレハ大統領が権力の座を辞任する 原因 となった。これにより、副大統領アブドラブフ・マンスール・ハーディーは、イエメンで統一政府を形成することを 命じ られた困難な状況で権力の座に就いた。 ハーディーは最終的に国を統一することに失敗し、ほとんど統治されないままになった。 コントロールの欠如は、 反抗的な派閥 の成長、外国が支援する政府の競合、そして過激主義の悪化する問題を許す 権力の空白 を招いた。

ザイド派シーア派フーシ派は、反乱派と広く考えられており、イラン政権によって 支援 され、 供給 されている。 この派閥は、サレハが 自身の派閥に反旗を翻 し、その後2017年に殺害される前に、以前はサレハに忠誠を誓っていたイエメン軍のメンバーから形成された。 この派閥は、現在イエメンの 政治的支配 を主張し、 国際的に認められ たイエメン政府であるサウジアラビアが支援するアブドラブフ・マンスール・ハーディー政府と戦っている。 ハーディー政権の支持者は大半がスンニ派イスラム教徒であり、シーア派が多数派であるフーシ派とは対照的であるため、これは宗派間の緊張を煽っている。 アラブ首長国連邦は、 2007年以来 、イ エメンからの分離を積極的に試みている南部運動の分派グループである南部分離主義者の第三のグループに 資金を提供している 。このグループは、以前は分離していた北イエメンと南イエメンが統合されて一つの国を形成した1990年からの国境 を再確立 することを望んでいます。 南部運動もまた、圧倒的にシーア派である。 これらのグループは、主にイエメンの国境内のさまざまな人口統計を表しています。

さらに、アラビア半島のアルカイダ(AQAP)の残党は、国の中央部に広大な領土を保持し続けている。 AQAPは、アルカイダの最も著名な系列組織の一つで、 フォート・フッドリトルロックUSSコールへの一匹狼攻撃や、デトロイトでの 航空機爆破 未遂、イエメンでの 脱獄 事件の功績を認めている。 このグループは2011年にアンサール・アル・シャリア(Ansar al-Sharia)として再ブランド化を試み、イエメンの領土保持に注力し始めた。 この集団は、近年、主にフーシ派の施設を標的とした民兵組織およびテロ組織として活動している。 同様の関連モデルは、イスラム国によって試みられたが、ほとんど牽引力を得ることができなかった。 イエメン 国内 の「イスラム国」に関する最近の報道は、AQAPとISの間の小競り合いをめぐって取り巻いている。

戦場としてのイエメンは、地域と世界の大国が自分たちの力を投影し、自分たちの利益を明らかにしようとしている興味深い縮図です。 イエメン内戦は、地域覇権をめぐるイランとサウジアラビアの 代理戦争 の中心にある。 フーシ派が支配する地域は、国連が 非戦闘員を殺害 し続けていると主張する空爆 作戦 、サウジアラビアの「決定的な嵐作戦」の標的となっている。アメリカ軍によれば、イランの作戦は、フーシ派がバブ・アル・マンデブ海峡の航路を阻止するのを許す兵器を導入した。米国とイランの間の緊張が高まる中、イランは半島全体のホルムズ海峡を支配する 能力 を持っており、米国があまりにも攻撃的であると認識した場合、封鎖すると している。 Recorded Futureは、2015年にイエメンサイバー軍がサウジアラビア政府機関を攻撃する愛国的なハッキンググループとして浮上した、イエメン国内でのイランとサウジアラビアのサイバー紛争について 報告 しています。 それ以来、このグループは イランとつながっている。

この地域紛争は、アラビア半島と地域のシーレーンにおけるロシアとアメリカの利害の対立と一致している。 米国はまた、この地域から「イスラム国」(IS)とアルカイダの存在を排除するための積極的な作戦を主導し、ISに対する成功を収めているが、空爆費用のかかる特別作戦作戦による民間人の死者を犠牲にしている。逆に、 ジェームズタウン財団 は、ロシアが戦争の政治的解決を 監督 するために、民間の軍事請負業者をイエメンに派遣したと推測している。 カーネギー財団は、ロシアがその影響力を拡大し、紅海に力を投射するという目標に関与していると考えています。

中国はまた、半島の 安定 への関心を高めており、 2017年頃からハーディー政権とサウジアラビアが支援する軍隊と連携している。 中国とサウジアラビア政府は 以前から防衛関係を築いているが、イエメンでの紛争の解決は、バブ・アル・マンデブ海峡とその周辺地域における中国船舶のリスクを軽減するのに役立つだろう。 この海峡は、中国の一帯一路 構想 ( 中国の国力を投射 するために設計された一連の大規模なインフラプロジェクト)がサウジアラビアや中東地域に進出するための重要な通過ルートである。

インフラ

イエメンのインターネットインフラは、同国で作用している国際的な権力を反映しています。 進行中の紛争は、インターネットスペースの割り当てと、市民がインターネットにアクセスする能力を妨げています。 Rapid7の National Exposure Index によると、イエメンのASNは135,168のIPアドレスを割り当てていますが、割り当てられているアドレスは17,934個しかなく、使用率が低いことを示しています。 DomainToolsによると、1152 .yeしかありませんでしたドメインが登録されています(.yeはYemenNetによって管理されています)。 イエメン出身であると自己申告した人々は7,845のドメインを登録しており、その中で最も人気があるのは.comです。 4番目に 人気のある TLDは.yeです。 イエメンは 人口で世界50位にランクされていますが、 ドメイン登録では148位です。

過去4年間、イエメンの領土が変わったように、インターネット資源に対する支配も変わった。 フーシ派勢力が首都サヌアを占領すると、彼らはイエメンの主要なインターネットプロバイダーであるイエメンネットの支配権も獲得した。 YemenNetは停電が発生しやすく、以前は サイバー 手段と 物理的 手段の両方で中断されていました。

海底ケーブル

イエメンの3つの着陸地点に4本の海底ケーブルが敷設されている。 下の画像に示すように、 FALCON海底 ケーブルはAl-GhaydahとAl-Hudaydahに着陸地点があり、 SEA-ME-WE 5 もAl-Hudaydahに着陸地点があり、 AAE-1 とAden-Djiboutiにはアデンに着陸地点があります。

フーシ派の支配下で、テレイエメン(したがって、イエメンネット)は、サウジ・テレコムが提供する光ファイバー接続を経由するルーティングを避ける可能性が最も高いため、トラフィックのルーティングに海底ケーブルを利用している。 現在、YemenNetは、アデンに陸揚げ地点を持つAsia Africa Europe-1(AAE-1)海底ケーブルのパートナーであるReliance Globalcom、Cogent Communications、Omantel、PCCW Globalと同業しています。 一方、AdenNetは、主にSaudi Telecomが提供する陸上の光ファイバーケーブルを利用しています。

イエメンの3つの潜水艦上陸地点のうち2つは、現在、ハーディー政府の支配下にある。 3つ目はアル・フダイダで、現在はフーシ派反政府勢力の支配下にあるが、下の画像に示すように、ハーディー政権が 積極的に狙っている地域である。 アル・フデイダの港は、飢饉とコレラの流行を経験している国に食料や医療品を届けるために重要です。 もしハーディー政府軍が港を支配すれば、彼らは外界とイエメンネット加入者との間のインターネットアクセスを遮断しかねない。 現在イエメンに影響を与えている人道危機ほど深刻ではありませんが、インターネットへのアクセスが不足していると、国内で何が起こっているのかを理解することがより困難になります。

アクセスと検閲

2015年、Citizen Labは、イエメン政府が .ye名前空間を管理する唯一の全国的なISP であるYemenNetで、イエメン市民向けのコンテンツを検閲している と報告 しました。YemenNetで使用されるIPとドメインスペースの多くは、2つのキャッシングサーバー、cache0.yemen.net[.]あなたがた および cache1.yemen.net[.]あなたがた。 これにより、コンテンツの監視やトラフィックの阻止が可能になる場合があります。 Recorded Futureは、IPアドレス82.114.160.98にインストールされた Webコンテンツフィルタリング ツールである NetSweeper デバイスを1つ使用して、Shodanを介してその努力の 名残 を見つけました。IPは自己署名SSL証明書を使用していましたが、Recorded FutureはそのIPアドレスを送受信するトラフィックを識別できませんでした。 ShodanやCensysを通じて、他の同様の検閲またはアクセス制御デバイスは見つかりませんでした。

yemen-internet-activity-2-2.png

インターネットアクセスとテリトリーコントロールの地理的な内訳。 出所:アルジャジーラ、ロイター、ワールド・エナジー・アトラス、クリティカル・スレット(2018年11月)より作成。

2014年9月に イエメンの首都サヌアを占拠 した後、フーシ派反政府勢力は、イエメンネット、テレイエメン、および市内に拠点を置く他のすべての通信プロバイダーを支配下に置いた。 2018年6月には、大手モバイルプロバイダーのMTNイエメンも 支配権を掌握した 。 したがって、フーシ派の反政府勢力は、以前インターネット活動を妨害または監視するために使用されていたのと同じアクセス制御および検閲ツールにアクセスできるようになり、ボックスを使用するオペレーターの物理的な安全性に応じてオンラインまたはオフラインになる可能性があります。 アル・アラビーヤの報道によると、フーシ派はこれらを使用して、WhatsApp、Facebook、Twitter、Telegramへのアクセスをブロックしているほか、フーシ派部隊の動きを報じたドメインもブロックしている。そのためにこれらのコントロールを使用した可能性があります。

yemen-internet-activity-3-2.png

イエメンのインターネット活動と著名な空爆作戦のタイムライン。

フーシ派は、ISPの支配下にあるインターネット・アクセスを完全に遮断する措置も取っている。 2017年12月7日、フーシ派が支配する通信情報技術省は、インターネットの 30分間の遮断を開始した 。 以前、フーシ派は港湾都市アデンへのインターネットアクセス を無効に していた。 多数の報告によると、フーシ派は、イエメン・ネットから光ファイバー回線の80パーセント以上を切断し、イエメン全土の情報を制御するために、より残忍なアプローチをとっている。

yemen-internet-activity-4-2.png

大手インターネットサービスプロバイダーのIPホールディングス。

首都からの脱出を余儀なくされたハーディー政府は、アデンに作戦基地を設立した。 新基地はインターネットへのアクセスも必要とし、フーシ派が支配するイエメンネットに秘密や金をまき散らしたり、フーシ派政府が繰り返しアクセスを遮断することに翻弄されるのではなく、ハーディー政権は2018年6月、新たなバックボーンプロバイダーであるアデンネット を立ち上げ た。 新しいISPは、アラブ首長国連邦(UAE)から資金提供を受け、Saudi Telecom(AS39386)の単一のフローを使用し、中国のテクノロジー企業Huaweiのルーターを使用して構築されました。 Huaweiは中国政府や軍と極めて密接な関係を持つ企業であり、スパイ活動の懸念から アメリカ やオーストラリアでは政府による使用が禁止されています。

AdenNetのインフラの多くはイエメン国外にあります。 AdenNetウェブサイト www.adennet4g[.]網 は、2018年6月20日にGoDaddyを通じて登録され、AdenNetメールサーバー(mail.adennet4g.net)と同様にBluehostでホストされています。 両方のホストのIPアドレスは同じ162.241.226.169で、Recorded Futureの調査によると、他の886のドメインと共有されています。 セルフサービスポータルssp.adennet4g[.]網 割り当てられたAdenNetのIPスペースを使用してください。

.netの使用 AdenNetと外部インフラのgTLDは、フーシ派が支配する資源の使用に対するハーディー政権の消極的な姿勢を反映しているのかもしれない。 また、特に紛争地帯の真っ只中に、新しいインターネットインフラストラクチャを構築しようとする際の課題を示している可能性もあります。 以前の報道では、ハーディー大統領が.yeの支配を取り戻そうとしていることが示唆されていた。 ccTLD、AS30873およびAS12486 ASN。 ICANN、IANA、および RIPE の文書のレビューでは、このレポートの時点では、正式なプロセスは開始されていないことが示されています。 さらに、内戦の真っ只中にこれらのリソースがインターネット統治機関によって転送される可能性は非常に低いです。

インターネット活動のベースライン化

イエメン内戦中の空爆と食糧不足により、 1,800万人 が人道支援を必要とし、食料危機を引き起こしました。 しかし、戦争中、同国からのインターネット活動は減少していません。 CIAワールド・ファクトブックによれば、インターネット・ユーザーは、戦争前の2014年の人口の19.1パーセントから、2016年には24.6パーセントに増加した。 Internet World Statsはまた、インターネットユーザーは過去2年間でほぼ同じままで、 2018年には24.3%で推移していると主張しています。 さらに、 複数の 情報筋が、携帯電話の普及率は内戦前から50%を超えており、ほぼ横ばいであるか、過去4年間で増加していると主張しています。

イエメン国内でインターネットサービスを利用しているユーザーの5つの異なる形態の証拠があります。 フーシ派反乱軍は、イエメンネットと.ye サヌアを取った後のドメインスペース、および政府のウェブサイトは、首都内の現在のフーシ派政府を反映しています。 例えば、イエメン外務省のウェブサイトには、現在のフーシ派主導の省庁に関する最新のリストが掲載されている。 さらに、AdenNetの創設により、ハディ政府はインターネットサービスをより頻繁に使用するようになるでしょう。

yemen-internet-activity-5-2.png

イエメンのフーシ派主導の外務省のウェブサイトのスクリーンショット(mofa.gov[.]あなたがた。

また、大学は国内でインターネットにアクセスでき、大学生は依然としてインターネットサービスを使用して研究を行い、互いに通信し、Webを閲覧しています。 しかし、フーシ派とハーディー派の両派閥による 空爆 や爆撃の標的に大学が徐々に加わり、大学の入学者数が減少する原因となっているため、これはますます交通量が少なくなってきています。 さらに、国内の大学は ますます拘置所として再利用されており、これが大学のインターネット利用が減少する別の理由である可能性があります。

イエメンでは、不釣り合いなほど多くの家庭およびビジネスユーザーがルーターでDNS再帰を有効にしており、これにより、これらのルーターはルーターの背後にいるユーザーのキャッシングDNSサーバーとして機能することができます。 Shodanによると、DNS再帰が有効になっている顧客宅内機器(CPE)ルーターは 12,000台以上 あります。 これは、フーシ派が実施していると報じられている厳しい検閲を回避するために行われている可能性がある - 先に述べたように、彼らはウェブとDNSフィルタリングを組み合わせて使用するツールであるNetsweeperを使用して、好ましくないと見なされるコンテンツをブロックしていると報じられている。

比較のために、イエメンと同様の人口規模を持つモザンビークとガーナの国々は、Shodanでそれぞれ約670と1200のオープンDNSサーバーしか報告していません。

yemen-internet-activity-6-2.png

イエメンのトラフィック宛先からOpenVPNエンドポイントまでの内訳(サードパーティのメタデータによる)。

最後に、複数の情報源が、イエメンの市民がTorブラウザまたはVPNを使用して、イエメンのインターネットの遮断と検閲を回避していることを示唆しています。このユーザーグループは、フーシ派が率いる反政府勢力(2017年12月7日に全国のインターネットを一時的に 遮断 した)や、 さまざまなソーシャルメディアをブロックしてきた歴史を持つハーディー政府によって認可されていないソースにアクセスしている可能性が高い。 Recorded Futureは、2018年10月にイエメンからVPNとTorが使用された証拠を発見しました。 複数の AdenNet IP からの少量のトラフィックが、ポート 9001(Tor)、1194(OpenVPN)、または 110(IPSEC VPN トンネリング)が開いているイエメン以外の IP にアクセスしようとしていました。

yemen-internet-activity-7-2.png

イエメンのトラフィック送信先からTorエンドポイントまでの内訳(サードパーティのメタデータによる)。

ハーディー政権が支配するイエメンにおけるインターネット利用の定量化

AdenNetは、現在フーシ派が支配しているYemenNetよりはるかに小さい。 ISP から送られてきたトラフィックの種類を評価するために、Recorded Future は 2018 年 10 月 1 日から 2018 年 11 月 6 日までメタデータ分析を実施しました。 Recorded FutureがAdenNetを監視することを選んだのは、その最近の作成と、 それがハーディー政府の支配下にあるため、このISPの分析がハーディーが支配するイエメンで何が起こっているかについての洞察を得るのに役立ったからだ。 2018年6月にAdenNetが設立されて以来、イエメン国内の主要都市のほとんどが爆撃の被害を受けていますが、2つのISPと一般に知られているYemenNetホストのオンラインとの間のトラフィックを見ると、YemenNetとAdenNetはどちらもそれほど問題なく機能しているようです。

yemen-internet-activity-8-2.png

2018年6月以降のイエメンでの空爆または爆撃の記録された未来地図。

上位のポートとプロトコル:WebブラウジングとVPN

イエメンのインターネットの分析中に観察された活動のほとんどは、当然のことながら、HTTPまたはHTTPSを介したWebブラウジング活動でした。 さらに、散発的なDNS、POP3、SMTP、IMAPのアクティビティも特定しました。 一部の IPSEC トンネリング アクティビティでは、Encapsulating Security Payload (ESP) プロトコルが利用されており、これは VPN アプリケーションの使用を示しています。 これは、イエメンのユーザーが、オンラインになるために、どちらかの政府のインターネット規制を回避しようとしているさらなる証拠である可能性がある。 その他の活動には、インターネット管理プロトコルのTELNET、SSH、およびインターネットで最も古いプロトコルの1つであるネットワークニュース転送プロトコル(NNTP)の使用が含まれ、インターネットUSENETニュースグループのサーバー間でニュース記事を転送できるようになりました。 最後に、BitTorrentやオンラインゲーム活動の証拠、JabberなどのXMPPメッセージングアプリケーションの使用の可能性も発見されました。

観測されたトラフィックの大部分はウェブブラウジング活動であったため、Recorded Futureデータセット内のAdenNet IPから発信されたトラフィックのほとんどが、Highwinds、Amazon、Akamaiなどの大規模なホスティングサイトやコンテンツ配信ネットワーク(CDN)プロバイダーに向かっていたことは驚くことではありません。 驚くべきことは、欧米と中国が所有するホストの間の分布です。 アリババとテンセントのホスティングサービスは、欧米のホスティングサービスほど頻繁にアクセスされていませんが、それでもイエメンのインターネットトラフィックのかなりの割合を占めています。

不審なインターネット アクティビティ

インターネットインフラストラクチャの脆弱性

Recorded Futureは、イエメンのインターネットインフラ内およびイエメンのインターネットインフラから発信される不審な活動の複数の事例を発見した。 一つには、イエメンが中国企業にその基幹インターネットインフラを委託したのは、AdenNetが初めてではないようだ。 Recorded FutureのShodan統合は、イエメンネットの主要なネームサーバーの1つである ns1.yemen.net[.]あなたがた 「Tenda-backdoor」モジュールが含まれています。 このモジュールはShodanでは検索できなくなりましたが、tenda-backdoorモジュールは、脆弱性CVE-2017-16923を使用して、中国のネットワークメーカーTenda製のルーターモデルでリモートコマンドを実行する ファームウェアバックドア を指します。

これが 意図的なベンダーのバックドア だったのか、それとも偶然のものだったのかは定かではありません。 ネームサーバーがYemenNet内の他のインフラストラクチャに接続されている場合、国家と非国家の両方の攻撃者がこのバックドアを利用してISPに侵入する可能性があります。

yemen-internet-activity-9-2.png

Recorded Future Shodan拡張機能のスクリーンショット ns1.yemen.net[.]あなたがた。

さらに、フーシ派が管理するサーバー 82.114.162.66 および 82.114.162.10 は、2018 年 6 月までに 500 を超えるイエメン政府、教育機関、企業の Web サイトをホストしており、CVE-2003-1582、CVE-2009-2521、CVE-2008-1446 などの古い脆弱性や、パッチを適用しないままにしておくと、攻撃者が当該システムに簡単にアクセスできるようになる可能性のある古い問題でいっぱいです。 元のWebサイトの多くはこれらのサーバーでホストされなくなりましたが、古いシステムログとデータが残っている可能性は十分にあります。

yemen-internet-activity-10-1.png

IP 82.114.162[.]2018年の特定の日に66。 出典: PassiveTotal。

コマンド&コントロールサーバー

Recorded Futureのコレクションは、Shodanと連携して、リモートアクセス型トロイの木馬を実行しているイエメンの範囲で公開されている多数の基本的なコマンドアンドコントロールサーバーを特定しました。 これらには、 BozokDarkCometNetBus などのトロイの木馬が含まれていました。

マルウェアのサンプル

Recorded Futureは、イエメンからVirusTotalに提出されたソフトウェアサンプルの数が、2015年から2017年の13サンプルから2018年には合計164サンプルに大幅に増加したことを指摘しています。 原因は不明のままです。 これは、AdenNetの導入により、より多くのイエメンの市民や居住者がインターネットアクセスをより一貫して利用できるようになるためである可能性があります。ただし、脅威の活動が増加していることが原因である可能性もあります。

これらのサンプルのうち、約半数は悪意のあるもので、その悪意のあるサンプルの圧倒的多数はAndroidアプリケーションでした。 2015年以降にVirusTotalにアップロードされた84のAndroidサンプルから、Recorded FutureはJoe Securityを使用して、AhMyth、DroidJack、Hiddad、Dianjinなど、広く普及しているマルウェアファミリーの亜種だけでなく、複数の偽のAltcoinウォレット、偽のWhatsappアプリケーション、ウイルス対策、ビデオ再生、VPNアプリケーションを装ったスパイウェアを特定することができました。 さらに、Recorded Futureは、Joe Securityの動的分析とRecorded Futureマルウェアの爆発を使用して、Androidサンプルから取得したアドウェアの50%が中国と西洋の両方の広告サイトに到達したことを確認しました。 偽のウイルス対策スパイウェアアプリの3分の2と、見つかった一部のAhMythサンプルは、中国のIPに接続されていました。

VirusTotal データセット内のほとんどのアプリケーションは、アドウェアを提供する低レベルの偽のアプリケーションのようです。 ただし、データセットの一部には、中国の商用パッカーである JiaGuBaoにパックされています。 さらに、中国のIPに到達する偽のウイルス対策スパイウェアは、古い電子メール、SMSと通話ログ、ブラウザの履歴などのAndroid電話からの情報にアクセスします。 アクセシビリティサービスを使用して、インストールされている他のアプリケーションを制御したり、Wi-Fi構成を変更したり、電話画面がオフのときにサービスを開始したり、写真を撮ったり、他のパッケージを削除したりする機能を備えている可能性があります。 中国がイエメン内戦の結果に、商業的にも外交的にも関心を持っていることは間違いない。 しかし、中国のIPに手を差し伸べるマルウェアの一部は、中国の監視権を持つ可能性のあるものと一致していますが、Recorded Futureは、中国の国家的なスパイ活動から入手したマルウェアであるかどうかを判断できませんでした。 さらに、Recorded Futureは、イエメンの個人がAndroidスマートフォンの広範な許可を要求しているいくつかの中国のモバイルアプリを発見しました。 これらのアプリは現在、中国のアプリストアでしか入手できないため、アプリがネイティブのイエメン人によって使用されていた可能性は低く、むしろイエメンを拠点とする中国人が能力開発の目的でイエメンに駐留していた可能性が高いです。 ファーウェイを含む中国企業は、過去にインフラプロジェクトの建設時に中国人労働者を外国に派遣したことがある。中国国民は、イエメン滞在中に自分に合わせたアプリケーションをダウンロードする可能性が高い。

コインマイニング活動

Recorded Futureは、イエメン国内で暗号通貨マイニングサービスCoinhiveを実行している973のホストを発見しました。 JavaScriptベースのMoneroマイナーであるCoinhiveは、フーシ派反政府勢力がYemenNetを支配してから2年後の2017年初頭にリリースされました。通常、Webサイトに埋め込まれ、ユーザーのCPUまたは処理能力を利用して、Webサイトの所有者の利益のために暗号通貨をマイニングします。 これにより、ユーザーがサイトを閲覧している限り、 ユーザーのブラウザがロックされ、ユーザーのデバイスのバッテリーが消耗 することがよくあります。 973のホストはすべてYemenNet ASN AS30873に属するMikroTikルーターであり、そのうち213のホストは同じドメインdynamic.yemennet[.]あなたがた。

2018年10月、Avastは、攻撃者がCVE-2018-14847を利用して広く利用可能なエクスプロイト 1 を使用し、侵害されたルーターでCoinhiveを実行するために必要なJavaScriptコードを挿入していた複数のクリプトジャッキングキャンペーンの レポートをリリース しました。Recorded Futureは、アバストが言及した独自のSSHおよびTelnetポートを使用しているMoneroマイナーを発見し、973台のルーターのうち約427台が、アバストのレポートですでに言及されている、より広範な標的型キャンペーンに関与していたことを突き止めました。 他の546ルーターは、これまでのところ、以前のキャンペーンへのリンクがないままになっています。 行方不明のホストの3分の1(189人)は、フーシ派が支配する首都サヌアに住んでいます。 Coinhive管理者アカウントによって生成された「一意の」サイトキーは、複数のホストで再利用されており、少数のアカウントがこれらのホストの大部分を制御していることを示唆しています。

さらに、感染したルーターはすべてYemenNetネットワークの一部ですが、TeleYemenが所有する同一のMikroTikルーターは感染していません。 これらのYemenNetルーターを感染させたのが誰なのか、なぜTeleYemenルーターも被害を受けなかったのかを特定することはできませんでした。 ただし、利用可能なデータから、次の 3 つのシナリオが考えられます。

  1. TeleYemenのホストは、Avastのレポートで言及されている以前に発見された非イエメンのホストとCoinhiveのキーが部分的に重複しているため、別の犯罪的なCoinhiveキャンペーンの一部である可能性があります。

  2. 空爆やその他の通常戦闘中にフーシ派のインターネットサービスの容量を低下させることに関心のある当事者は、利用可能なCoinhiveエクスプロイトを使用してYemenNetのマシンの速度を低下させ、政府の通信や民間のオンラインサービスを制限し、ホストをオフラインにすることさえできる可能性があります。

  3. フーシ派が率いる政府は、自分たちのホストを使って、政権のための代替通貨を生み出そうとしている可能性がある。 飢饉と経済危機の時期に新たな収入源を確保すれば、飢饉が最も厳しいフーシ派地域に援助を提供し、ハーディー率いる政府に対して使用する通常兵器を追加購入することで、フーシ派主導の国内での正当化に向けた取り組みを強化することになる。

関与したアクターに関係なく、現在のコインマイニングキャンペーンはフーシ派が保持するインターネットリソースを枯渇させていると私たちは評価しています。 Moneroマイニングアルゴリズムは、通常のコンピューター がカスタムメイドのマイニングチップ(ASIC)を搭載したコンピューターと同じくらい簡単に暗号通貨を生成できるように特別に設計されています。 これはビットコインマイニングとは逆で、ASICのマイニング能力により標準のPCが無効になります。 Recorded Futureは、これらの取り組みからどれだけのMoneroが生成されたかを判断できませんでした。

予想されるサイバーターゲティングプロファイル

Recorded Futureは、イエメン紛争における主要な交戦国のそれぞれについて、特定のターゲティングプロファイルを予想していた。 このセクションでは、予想されるアクティビティと、それらの関係者に影響を与えるデータの違いや不足について説明します。

フーシ派最高政治評議会

フーシ派がイエメンの膨大な量のインターネット資源を支配し、イランに支援され、事実上の支配を行使しているという事実が、サウジアラビア政府を敵に回し続けている。 これは、彼らをサウジアラビアの監視の標的にする可能性が高い。 Recorded Futureは、この監視が主にフーシ派の意図を特定し、イエメン全土での小競り合いの戦闘計画を特定するために使用され、ルーター、従来のホスト、およびAndroidモバイルデバイスを標的にすると予想しています。 Citizen Labは、サウジアラビアがNSOグループのPegasusスパイツールを使用したことをiOSデバイスを標的にしていることを関連付け、サウジアラビアがマルウェアの開発を外部委託する相対的な意図を示している。

Lookoutは 、NSOグループのAndroidデバイス用スパイウェアであるChrysaorが、通信にMessage Queue Telemetry Transport(MQTT)を使用していることを発見しました。 このプロトコルは、トラフィックが SSL 経由で暗号化される場合、TCP/IP ポート 1883 とポート 8883 を使用します。 このプロトコルは、一般的なMeetMeソーシャルメディアプラットフォームでも 使用されており 、常に稼働時間があるとは限らない遠隔地での接続に一般的に使用されます。 フーシ派がイエメンネットを支配しているにもかかわらず、Recorded Futureは、イエメンネットやそのコレクションのいずれにおいても、従来のクリサオール構成を使用した感染を特定することができなかった。

ハーディー政府

ハーディー政権は、隣国でのスンニ派とサウジアラビアの影響力を強化しようとして、サウジアラビア の直接支援 を受けており、イランが支援するフーシ派勢力と直接戦闘員だ。 Recorded Futureは、ハーディー政権の 中国との協力により、中国がイエメンの活動を監視することになり、彼らの投資を監視する方法としても含まれると予想していた。 さらに、Recorded Futureは、これらの部隊に対して展開されたイランのモバイル監視マルウェアを予想しており、 CheckPoint は、イランの反体制派の民間人や潜在的なISシンパに対して使用されていることを発見しました。

南部分離主義者

正式には南部移行評議会(STC)として知られる南部運動は、主にアラブ首長国連邦の支援を受けているが、サウジアラビア連合との不安定な 連携 状態にあることに気づき、それはしばしば され、 壊れてきた。 2018年10月、STC部隊は アデンでの蜂起を呼びかけ、ハーディー政権によるアデンの支配と直接対立した。 この活動 は、国連のさらなる平和の呼びかけを引き起こし、グループは南イエメンの自治という目標に対して、より国際的な認識を得ることができました。 UAEとサウジアラビア政府の協力と全面的な同盟により、Recorded FutureはサウジアラビアがSTC部隊を標的にするとは予想していません。 同様に、STCはフーシ派と直接対立していますが、インターネットの継続的な保有や明確なセル範囲がないため、Recorded Futureは、STCに対するイランのマルウェアによる特定の標的を想定していません。

アラビア半島のアルカイダ

イエメンのアルカイダの関連組織は、驚くべきことに、独特の標的化シナリオにある。 カーネギー財団によれば、この集団は、主にサウジアラビアが率いる連合軍の支援を受けており、フーシ派と戦うという共通の目標を共有している。サウジアラビアは、過激派と不可 侵条約 まで調印した。 これは、アメリカ合州国が、ほぼ独占的にイエメンのAQAP部隊を標的にしているため、サウジアラビアの権益に対するアメリカの支援と矛盾する。 イランは、サウジアラビアと同盟する過激派による フーシ派勢力の標的 に反対している可能性が高い。

Kasperskyは、2012年から2018年にかけて、イエメンおよびその他の国の個々のルーターを対象としたSlingshotフレームワーク を発見しました 。 パチンコは、米軍がイスラム国やアルカイダのメンバーを標的にするために使用した と言われ ており、おそらくサイバーがテロリストの監視に使用されている最も報道された例である。 Recorded Futureは、この活動を特定することができませんでした。

今後の展望

空爆活動が続き、イエメンの派閥間の武力衝突が起こり、イエメンの インフラ公衆衛生が全般的に悪化しているにもかかわらず、イエメンのインターネットアクセスは強靭であることが証明されるかもしれない。 イエメンで二重のバックボーンを作るためのAdenNetの導入は、フーシ派がサヌアを掌握した際にインターネットアクセスを取り消された何千人もの市民に、追加のネットワークアクセスポイントを作り出した。 しかし、イエメンネットの脆弱性は、そのインフラ内でのスパイ活動や破壊的なキャンペーンにつながり、フーシ派が支配する地域内のインターネットアクセスに損害を与える可能性がある。

Recorded Futureは、国内でインフレがさらに猛威を振るうにつれて、サヌアのフーシ派政府は、彼らの援助と軍事努力を強化するために代替通貨を生成する試みを続けるだろうと中程度の自信を持って評価しています。 国内のマルウェアは、特にインターネットへの新しいアクセス形態により、引き続き一定の要因となるでしょう。 同様に、一部のイエメン国民は、過去に両政府がインターネットアクセスを制御したいという願望を理解し、政府のインターネット制御を回避し続ける可能性が高い。 残念ながら、情報へのアクセスやサイバー手段は、イエメンを 飢饉の瀬戸際、コレラ の流行、または継続的な内戦の 残虐行為 から回復させるのに役立たない可能性が高い。

1https://www[.]github[.]com/BasuCert/WinboxPoCの

関連