スコープノート: この研究の情報源には、 Recorded Future プラットフォーム、 Recorded Future マルウェアの爆発、Citizen Lab、Shodan、VirusTotal、Censys、ReversingLabs、およびサードパーティのメタデータからの調査結果と方法が含まれます。 Recorded Future 、イエメンの現在の知的財産の状況を定量化するのに協力してくれたRapid7とそのNational Cyberエクスポージャーインデックスに感謝したいと思います。 Recorded Futureも感謝したいと思います ジョー・セキュリティ Android デバイスのマルウェア サンプルを分析するために製品を使用すること。

Executive Summary

イエメン内戦が続く中、国内外の関係者がインターネット制御やその他のサイバー手段を通じて二次戦争を繰り広げている。 Recorded FutureのInsikt Groupは、イエメンのインターネットへのアクセス、使用、制御をめぐる闘争を通じて、イエメン内戦の力学がオンラインで現れていると評価しています。 Recorded Futureは、イエメン国内での検閲規制とそれらの規制を覆そうとするトラフィック、およびスパイウェア活動の両方を特定しました。 本レポートは、イエメンにおけるインターネット活動、インターネット利用、アクセスのベースラインを確立することを意図している。

主な判断

• 2014年9月にイエメンの首都サヌアを奪取して以来、フーシ派反政府勢力は、主要なISPであるイエメンネットを監督してきたほか、過去3年間、インターネット活動を妨害、劣化、監視するために以前に使用されていたのと同じアクセス制御や検閲ツールも監視してきた。
• Recorded Futureは、サヌア内のフーシ派反政府勢力が、YemenNetの広大なIPインフラを利用してCoinhiveのマイニングサービスをホストし、収益を上げていると中程度の確信度で評価しています。
• 公式の政府サイトはYemenNetと.yeでホストされています ドメインスペースは、アデンのハディ政府ではなく、サヌアのフーシ派政府を反映するように変更されており、Recorded Futureは、最近まで500以上の公式.yeをホストしていたYemenNetのメインネームサーバーと複数のサーバー内のいくつかの脆弱性を指摘しています ドメイン。
• ハーディー政権は、サヌアではなくアデンに拠点を置き、2018年6月に新たなISPであるAdenNetを創設した。 これは、インターネットサブスクリプションとモバイルサブスクリプションが増加し続けるため、国内での新たなインターネットレジリエンスにつながる可能性があると考えています。
• イエメンのインターネットユーザーのうち、ごく一部が、政府の規制を回避するために、VPN、Tor、またはDNS再帰機能を備えたルーターを使用しています。
• イエメン国外での疑わしいインターネット関連の活動は、アドウェアやスパイウェアのレベルが低いことを示唆していますが、その背後にいる攻撃者に関する情報は決定的ではありません。
• 米国、ロシア、中国などの主要な国際的プレーヤーは、マルウェア、軍事活動、政治的影響力、投資を利用して、イエメン国内の覇権をめぐるサウジアラビアとイランの地域紛争への関心を高めています。

この分析のグラフ表示。

背景

イエメンは2015年以来、内戦が続いている。イエメンはアラビア半島の他の地域に比べて比較的多文化であるため、紛争は宗派的、宗教的、政治的分裂によって煽られている。イエメン人は、1962年から1970年にかけての 北イエメン での紛争や、1990年の統一に抵抗した後の 1994年の血なまぐさい戦争 など、複数の内戦に耐えてきた。イエメンの元大統領アリ・アブドラ・サレハは、国内の闘争にもかかわらず、国 を統治することは 「蛇の頭の上で踊る」ようなものだと表現した。

現在の内戦は、 アラブの春に拍車がかかり 、 2011年にアリ・アブドラ・サレハ大統領が政権を辞任した一連の血なまぐさい抗議行動にまでさかのぼります 。これにより、副大統領のアブドラブ・マンスール・ハディは困難な状況に置かれ、イエメンで統一政府を結成することが義務付けられました。ハディは最終的に国の統一に失敗し、ほとんど統治されないままになりました。統制の欠如は権力の空白につながり、反抗的な派閥、競合する外国の支援を受けた政府の成長、そして激化する過激主義の問題につながりました。

ザイディ・シーア・フーシ派は、主に反抗的な派閥と見なされており、 イラン政権の支援と供給を受けています 。この派閥は、以前はサレハに忠実だったイエメン軍のメンバーで結成されました。その後、彼は自分の派閥を立ち上げ、その後2017年に殺害されました。この派閥は、 現在イエメンの政治的支配を主張し 、国際的に認められたイエメン政府である、サウジが支援するアブドラブ・マンスール・ハディ政権と戦っています。これは宗派間の緊張を煽っています。ハディ政府の支持者は主にスンニ派イスラム教徒であり、シーア派が多数を占めるフーシ派とは対照的です。アラブ首長国連邦は、南部の分離主義者の第3のグループ、 つまり2007年から積極的にイエメンからの離脱を試みてきた南部運動の分派グループに資金を提供しています 。このグループは、以前は分離していた北イエメンと南イエメンが統合されて1つの国を形成した1990年から、国境を再確立したいと考えています。南部運動も主にシーア派です。これらのグループは、主にイエメンの国境内のさまざまな人口統計を代表しています。

さらに、アラビア半島のアルカイダ(AQAP)の残党は、国の中央部に広大な領土を支配し続けている。AQAPはアルカイダの最も著名な関連組織の一つであり、 フォート・フッド、 リトルロック、 USSコールへの一匹狼の攻撃、デトロイトでの 飛行機爆破 の失敗、イエメンでの 脱獄 の功績を認めている。このグループは2011年にアンサール・アル・シャリーアとしてのブランド変更を試み、イエメンの領土保持に注力し始めた。このグループは近年、主にフーシ派の施設を標的とする民兵組織およびテロ組織として活動している。同様の提携モデルがイスラム国によって試みられたが、ほとんど牽引力を得ることができなかった。イエメン 国内 のイスラム国に関する最近の(脅威についての)レポート作成は、AQAPとISの間の小競り合いをめぐるものである。

戦場としてのイエメンは、地域および世界の大国が自国の力を投影し、自国の利益を表明しようとしている興味深い縮図です。イエメン内戦は、地域覇権をめぐるイランとサウジアラビアの 代理戦 の中心にある。フーシ派が支配する領土は、サウジアラビアの「決定的な嵐作戦」の標的となっているが、国連は非 戦闘員の殺害 を続けていると主張している空爆 キャンペーン 。イラン キャンペーン米 軍によると、フーシ派がバブ・アル・マンデブ海峡の航路を遮断できるようにする武器を導入した。 米国とイランの間の緊張が高まる中、イランは半島を横切ってホルムズ海峡を制圧する 能力 を持ち、米国が攻撃的すぎると認識すれば封鎖すると 脅 している。Recorded Futureは、イエメン・サイバー軍がサウジアラビア政府機関を攻撃する愛国的なハッキンググループとして台頭した2015年に、イエメン国内のイランとサウジアラビアのサイバー紛争について 報じ た。その後、このグループは イランと関係がある。

この地域紛争は、アラビア半島とこの地域のシーレーンにおけるロシアとアメリカの利益の対立と一致している。米国はまた、積極的なキャンペーンを主導しました キャンペーン この地域からイスラム国(IS)とアルカイダの存在を取り除くために、ISに対して成功を収めましたが、空爆による民間人の死亡と費用のかかる特殊作戦キャンペーンを犠牲にしました。逆に、 ジェームズタウン財団 は、ロシアが戦争の政治的解決 を監督 するために民間軍事請負業者をイエメンに派遣したのではないかと推測している。カーネギー基金は、ロシアが紅海での影響力を拡大し、力を投射するという目標に関与していると考えている。

中国はまた、半島の 安定 への関心を高めており、 2017年頃からハディ政権とサウジアラビアが支援する軍隊と連携している。中国とサウジアラビア政府は 既存の防衛関係にあるが、イエメン紛争の解決は、バブ・アル・マンデブ海峡とその周辺地域の中国の海運に対するリスクを軽減するのに役立つだろう。この海峡は、中国の一 帯一路構想 ( 中国の国力を投影 することを目的とした一連の大規模なインフラプロジェクト)がサウジアラビアとより広い中東地域に向かう重要な通過ルートである。

インフラ

イエメンのインターネットインフラは、国内で活動している国際的な力を反映しています。現在進行中の紛争により、インターネットスペースの割り当てや、市民がインターネットにアクセスする能力が妨げられています。Rapid7の National Cyberエクスポージャーインデックス によると、イエメンのASNは135,168のIPアドレスを割り当てているにもかかわらず、割り当てられたアドレスは17,934しかなく、使用率が低いことがわかりました。 DomainToolsによると、1152 .yeしかありませんでしたドメインが登録されています(.yeはYemenNetによって管理されています)。People self-(脅威についての)レポート作成 イエメン出身として 7,845 のドメインが登録されており、その中で最も人気のあるドメインは .com です。 4番目に 人気のある TLDは.yeです。イエメンは 人口で世界50位にランクされていますが、 ドメイン登録では148位です。

過去4年間、イエメンの領土が所有者に変わったように、インターネットリソースの管理も変わった。フーシ派勢力が首都サヌアを占領すると、イエメンへの主要なインターネットプロバイダーであるイエメンネットも支配した。YemenNetは停止しやすく、以前は サイバー 手段と 物理 手段の両方によって中断されていました。

海底ケーブル

イエメンには3つの上陸地点に4本の海底ケーブルが整備されている。下の画像に示すように、 FALCON 海底 ケーブルは Al-Ghaydah と Al-Hudaydah に着陸地点があり、 SEA-ME-WE 5 も Al-Hudaydah に着陸地点があり、 AAE-1 と Aden-Djibouti はアデンに着陸地点があります。

フーシ派の支配下で、テレイエメン(したがって、イエメンネット)は、サウジ・テレコムが提供する光ファイバー接続を経由するルーティングを避ける可能性が最も高いため、トラフィックのルーティングに海底ケーブルを利用している。 現在、YemenNetは、アデンに陸揚げ地点を持つAsia Africa Europe-1(AAE-1)海底ケーブルのパートナーであるReliance Globalcom、Cogent Communications、Omantel、PCCW Globalと同業しています。 一方、AdenNetは、主にSaudi Telecomが提供する陸上の光ファイバーケーブルを利用しています。

イエメンの3つの潜水艦着陸地点のうち2つは、現在ハディ政府の管理下にあります。3つ目はアル・フダイダで、現在フーシ派の反政府勢力の支配下にありますが、下の画像に示すように、ハディ政府が積極的に標的にしている地域です。アル・フダイダの港は、飢饉やコレラの発生に見舞われている国に食料や医薬品を届けるのに不可欠です。ハディ政府軍が港を支配すれば、外界とイエメンのネット加入者との間のインターネットアクセスを遮断する可能性があります。現在イエメンに影響を及ぼしている人道的危機ほど深刻ではありませんが、インターネットにアクセスできないと、国内で何が起こっているのかを理解するのがより困難になります。

アクセスと検閲

2015年、シチズン・ラボは、イエメン政府が.ye名前空間を管理している 唯一の国営ISPであるイエメンネットでイエメン国民のコンテンツを検閲していると 報告 した。YemenNetで使用されるIPおよびドメイン空間の多くは、2つのキャッシュサーバー cache0.yemen.net[.]あなたがたそして cache1.yemen.net[.]あなたがた。これにより、コンテンツの監視やトラフィックの阻止が可能になる場合があります。Recorded Future は、IP 82.114.160.98 にインストールされた Web コンテンツ フィルタリング 用のツールである NetSweeper デバイスを 1 台使用して、Shodan を介してその取り組みの 名残 を見つけました。IP は自己署名 SSL 証明書を使用していましたが、Recorded Future はその IP アドレスとの間で送受信されるトラフィックを識別できませんでした。Shodan や Censys を介して、他に同様の検閲やアクセス制御デバイスは見つかりませんでした。

インターネットアクセスとテリトリーコントロールの地理的な内訳。 出所:アルジャジーラ、ロイター、ワールド・エナジー・アトラス、クリティカル・スレット(2018年11月)より作成。

2014年9月にイエメンの首都サヌアを占領した後、フーシ派の反政府勢力は、YemenNet、TeleYemen、および市内に拠点を置くその他すべての通信事業者の支配権を獲得しました。2018年6月には、主要なモバイルプロバイダーであるMTN Yemenの支配権も掌握しました。これにより、Houthiの反政府勢力は、インターネット活動を妨害または監視するために以前使用されていたのと同じアクセス制御および検閲ツールにアクセスできるようになりました。これらのツールは、ボックスを使用するオペレーターの身体的安全性に応じて、オンラインまたはオフラインになる可能性があります。アル・アラビヤの報告によると、フーシ派はこれらを使ってWhatsApp、Facebook、Twitter、テレグラムへのアクセスをブロックしました。また、フーシ派の軍隊の動きを報告したドメインもそうです。そのためにこれらのコントロールを使用した可能性があります。

イエメンのインターネット活動と著名な空爆作戦のタイムライン。

フーシ派はまた、ISPの管理全体でインターネットアクセスを完全に遮断する措置を講じた。2017年12月7日、フーシ派が支配する通信情報技術省は、30分間のインターネット遮 断を開始し た。以前、フーシ派は港湾都市アデンへのインターネットアクセスを 無効 にしていた。フーシ派がイエメンネットから光ファイバー回線の80%以上を遮断し、国全体の情報を管理するためにより残忍なアプローチをとったことが多数の 報道で 判明 した。

大手インターネットサービスプロバイダーのIPホールディングス。

首都から逃げることを余儀なくされたハディ政権は、アデンに作戦基地を設立した。新しい基地にはインターネットアクセスも必要であり、ハディ政権はフーシ派が支配するイエメンネットに秘密や資金を種まきしたり、フーシ派政府が繰り返しアクセスを遮断したりするのではなく、2018年6月に新しいバックボーンプロバイダーであるアデンネットを 立ち上げ た。新しいISPはアラブ首長国連邦(UAE)から資金提供を受け、サウジテレコム(AS39386)の単一フローを使用し、中国のテクノロジー企業ファーウェイのルーターを使用して構築されました。ファーウェイは中国政府や軍と極めて密接な関係にある企業で、スパイ活動の懸念から 米国 やオーストラリアでは政府による利用が禁止されている。

AdenNetのインフラの多くはイエメン国外にあります。 AdenNetウェブサイト www.adennet4g[.]網 は、2018年6月20日にGoDaddyを通じて登録され、AdenNetメールサーバー(mail.adennet4g.net)と同様にBluehostでホストされています。 両方のホストのIPアドレスは同じ162.241.226.169で、Recorded Futureの調査によると、他の886のドメインと共有されています。 セルフサービスポータルssp.adennet4g[.]網 割り当てられたAdenNetのIPスペースを使用してください。

.netの使用 AdenNetと外部インフラのgTLDは、フーシ派が支配する資源の使用に対するハーディー政権の消極的な姿勢を反映しているのかもしれない。 また、特に紛争地帯の真っ只中に、新しいインターネットインフラストラクチャを構築しようとする際の課題を示している可能性もあります。 以前の報道では、ハーディー大統領が.yeの支配を取り戻そうとしていることが示唆されていた。 ccTLD、AS30873およびAS12486 ASN。 ICANN、IANA、および RIPE の文書のレビューでは、このレポートの時点では、正式なプロセスは開始されていないことが示されています。 さらに、内戦の真っ只中にこれらのリソースがインターネット統治機関によって転送される可能性は非常に低いです。

インターネット活動のベースライン化

イエメン内戦中の空爆と食糧不足により、 1,800万人 が人道支援を必要とし、食糧緊急事態を引き起こしている。しかし、戦争中、同国からのインターネット活動は減少していない。CIAワールドファクトブックによると、インターネットユーザーは2014年の戦前の人口の19.1%から2016年には24.6%に増加しました。Internet World Statsはまた、インターネットユーザーは過去2年間ほぼ同じままで、 2018年には24.3%で推移していると主張しています。さらに、 複数の 情報源は、携帯電話の普及率は内戦前から50%を超えており、過去4年間でほぼ同じか増加していると主張している。

イエメン国内でインターネットサービスを利用しているユーザーの5つの異なる形態の証拠があります。 フーシ派反乱軍は、イエメンネットと.ye サヌアを取った後のドメインスペース、および政府のウェブサイトは、首都内の現在のフーシ派政府を反映しています。 例えば、イエメン外務省のウェブサイトには、現在のフーシ派主導の省庁に関する最新のリストが掲載されている。 さらに、AdenNetの創設により、ハディ政府はインターネットサービスをより頻繁に使用するようになるでしょう。

イエメンのフーシ派主導の外務省のウェブサイトのスクリーンショット(mofa.gov[.]あなたがた。

また、国内の大学は今でもインターネットにアクセスでき、大学生は今でもインターネットサービスを利用して研究を行い、互いにコミュニケーションを取り、ウェブを閲覧しています。しかし、これはますます小さくなっています 情報源 大学がフーシ派とハディ率いる派閥の両方による空爆や爆撃 の標的 になり、大学の入学者数が減少しているため、トラフィックの源。 さらに、国内の大学は 拘置所として再利用されることが増えており、これが大学のインターネット利用が減少しているもう一つの理由と思われる。

イエメンのホームユーザーやビジネスユーザーが、ルーターでDNS再帰を有効にしています。これにより、これらのルーターは、ルーターの背後にいるユーザーのキャッシュDNSサーバーとして機能できます。Shodanによると、DNS再帰が有効になっている顧客宅内機器（CPE）ルーターは12,000台以上あります。これは、フーシスによって実施されたと報告されている厳しい検閲を回避するために行われている可能性があります。前述のように、フーシ派は、不快と思われるコンテンツをブロックするために、ウェブとDNSフィルタリングを組み合わせたツールであるNetsweeperを使用していると報告されています。

比較のために、イエメンと同様の人口規模を持つモザンビークとガーナの国々は、Shodanでそれぞれ約670と1200のオープンDNSサーバーしか報告していません。

イエメンのトラフィック宛先からOpenVPNエンドポイントまでの内訳(サードパーティのメタデータによる)。

最後に、複数の情報源は、イエメン国民がイエメンのインターネットのシャットダウンと検閲を回避するためにTorブラウザまたはVPNのいずれかを使用していることを示唆しています。このユーザーグループは、フーシ派率いる反政府勢力(2017年12月7日に全国で インターネットを 一時的に閉鎖した)や、 さまざまなソーシャルメディアをブロックした歴史のあるハディ政府によって制裁されていない情報源にアクセスしている可能性が高い。 Recorded Futureは、2018年10月にイエメンからVPNとTorが使用された証拠を発見しました。複数の AdenNet IP からの少量のトラフィックが、ポート 9001 (Tor)、1194 (OpenVPN)、または 110 (IPSEC VPN トンネリング) が開いているイエメン以外の IP にアクセスしようとしていました。

イエメンのトラフィック送信先からTorエンドポイントまでの内訳(サードパーティのメタデータによる)。

ハーディー政権が支配するイエメンにおけるインターネット利用の定量化

アデンネットは、現在フーシ派が支配しているイエメンネットよりもはるかに小さい。ISPから送信されるトラフィックの種類を評価するために、Recorded Futureは2018年10月1日から2018年11月6日までメタデータ分析を実施しました。Recorded FutureがAdenNetを監視することを選択したのは、その最近の創設と、 Hadi政府の管理下にあるためであり、このISPの分析は、Hadiが支配するイエメンで何が起こっているのかを知るのに役立つためです。2018年6月にAdenNetが創設されて以来、イエメン国内のほとんどの主要都市が爆撃に見舞われているが、2つのISPとオンラインで広く知られているYemenNetホスト間のトラフィックに基づくと、YemenNetとAdenNetはどちらも大きな問題なく機能しているようだ。

2018年6月以降のイエメンでの空爆または爆撃のRecorded Future地図。

上位のポートとプロトコル:WebブラウジングとVPN

イエメンのインターネットの分析中に観察された活動のほとんどは、当然のことながら、HTTPまたはHTTPSを介したWebブラウジング活動でした。 さらに、散発的なDNS、POP3、SMTP、IMAPのアクティビティも特定しました。 一部の IPSEC トンネリング アクティビティでは、Encapsulating Security Payload (ESP) プロトコルが利用されており、これは VPN アプリケーションの使用を示しています。 これは、イエメンのユーザーが、オンラインになるために、どちらかの政府のインターネット規制を回避しようとしているさらなる証拠である可能性がある。 その他の活動には、インターネット管理プロトコルのTELNET、SSH、およびインターネットで最も古いプロトコルの1つであるネットワークニュース転送プロトコル(NNTP)の使用が含まれ、インターネットUSENETニュースグループのサーバー間でニュース記事を転送できるようになりました。 最後に、BitTorrentやオンラインゲーム活動の証拠、JabberなどのXMPPメッセージングアプリケーションの使用の可能性も発見されました。

観測されたトラフィックの大部分はウェブブラウジング活動であったため、Recorded Futureデータセット内のAdenNet IPから発信されたトラフィックのほとんどが、Highwinds、Amazon、Akamaiなどの大規模なホスティングサイトやコンテンツ配信ネットワーク(CDN)プロバイダーに向かっていたことは驚くことではありません。 驚くべきことは、欧米と中国が所有するホストの間の分布です。 アリババとテンセントのホスティングサービスは、欧米のホスティングサービスほど頻繁にアクセスされていませんが、それでもイエメンのインターネットトラフィックのかなりの割合を占めています。

不審なインターネット アクティビティ

インターネットインフラストラクチャの脆弱性

Recorded Future は、イエメンのインターネット インフラストラクチャ内で、イエメンのインターネット インフラストラクチャに由来する不審なアクティビティの複数のインスタンスを発見しました。まず、イエメンが中国企業にバックボーンインターネットインフラを委託したのはアデンネットが初めてではないようだ。Recorded FutureのShodanインテグレーションによると、YemenNetの主要なネームサーバーの1つである ns1.yemen.net[.]あなたがた 「tenda-backdoor」モジュールが含まれています。このモジュールは Shodan では検索できなくなりましたが、tenda-backdoor モジュールは、脆弱性 CVE-2017-16923 を使用して、中国のネットワーク メーカーである Tenda 製のルーター モデルでリモート コマンドを実行するファー ムウェア バックドア を指します。

これが 意図的なベンダーのバックドア なのか、それとも偶発的なものなのかは不明です。ネームサーバーがYemenNet内の他のインフラストラクチャに接続されている場合(そうである可能性が高い)、国家攻撃者と非国家攻撃者の両方がこのバックドアを利用してISPに侵入する可能性があります。

Recorded Future Shodan拡張機能のスクリーンショット ns1.yemen.net[.]あなたがた。

さらに、フーシ派が管理するサーバー 82.114.162.66 および 82.114.162.10 は、2018 年 6 月までに 500 を超えるイエメン政府、教育機関、企業の Web サイトをホストしており、CVE-2003-1582、CVE-2009-2521、CVE-2008-1446 などの古い脆弱性や、パッチを適用しないままにしておくと、攻撃者が当該システムに簡単にアクセスできるようになる可能性のある古い問題でいっぱいです。 元のWebサイトの多くはこれらのサーバーでホストされなくなりましたが、古いシステムログとデータが残っている可能性は十分にあります。

IP 82.114.162[.]2018年の特定の日に66。 出典: PassiveTotal。

コマンド&コントロールサーバー

Recorded Future のコレクションは、Shodan と共同で、リモート アクセス トロイの木馬を実行しているイエメンの範囲で公開されている多数の基本的なコマンド アンド コントロール サーバーを特定しました。これらには、 Bozok、 DarkComet、 および NetBus トロイの木馬が含まれていました。

マルウェアのサンプル

Recorded Futureは、イエメンからVirusTotalに提出されたソフトウェアサンプルの数が、2015年から2017年の13サンプルから2018年には合計164サンプルに大幅に増加したことを指摘しています。 原因は不明のままです。 これは、AdenNetの導入により、より多くのイエメンの市民や居住者がインターネットアクセスをより一貫して利用できるようになるためである可能性があります。ただし、脅威の活動が増加していることが原因である可能性もあります。

これらのサンプルのうち、約半数は悪意のあるもので、その悪意のあるサンプルの圧倒的多数はAndroidアプリケーションでした。 2015年以降にVirusTotalにアップロードされた84のAndroidサンプルから、Recorded FutureはJoe Securityを使用して、AhMyth、DroidJack、Hiddad、Dianjinなど、広く普及しているマルウェアファミリーの亜種だけでなく、複数の偽のAltcoinウォレット、偽のWhatsappアプリケーション、ウイルス対策、ビデオ再生、VPNアプリケーションを装ったスパイウェアを特定することができました。 さらに、Recorded Futureは、Joe Securityの動的分析とRecorded Futureマルウェアの爆発を使用して、Androidサンプルから取得したアドウェアの50%が中国と西洋の両方の広告サイトに到達したことを確認しました。 偽のウイルス対策スパイウェアアプリの3分の2と、見つかった一部のAhMythサンプルは、中国のIPに接続されていました。

VirusTotal データセット内のほとんどのアプリケーションは、アドウェアを提供する低レベルの偽のアプリケーションであるように見えます。ただし、データセットの一部のスパイウェアは、中国の商用パッカーである JiaGuBao にパックされています。さらに、中国の IP にアクセスする偽のウイルス対策スパイウェアは、古い電子メール、SMS や通話記録、ブラウザの履歴などの Android スマートフォンからの情報にアクセスします。アクセシビリティ サービスを使用してインストールされている他のアプリケーションを制御し、Wi-Fi 構成の変更、電話画面がオフのときにサービスを開始する、写真を撮る、他のパッケージを削除する機能を備えています。中国がイエメン内戦の結果に商業的・外交的両面から関心を持っていることは疑いの余地がない。しかし、中国のIPに到達するマルウェアの一部は、中国の監視の利益と一致している可能性がありますが、 Recorded Future は、入手したマルウェアが中国の国民国家スパイ活動キャンペーンからのものであるかどうかを判断できませんでした。 さらに、Recorded Future は、イエメンの個人が広範な Android スマートフォンの許可を要求するいくつかの中国のモバイル アプリを発見しました。これらのアプリケーションは現在、中国のアプリストアでのみ入手できるため、これらのアプリがネイティブのイエメン人によって使用されていた可能性は低く、イエメンを拠点とする中国人が能力開発の目的でイエメンに駐留している可能性が高い。ファーウェイを含む中国企業は、過去にインフラプロジェクトを建設する際に中国人労働者を外国に派遣したことがある。中国国民は、イエメン滞在中に自分に合わせたアプリケーションをダウンロードする可能性が高い。

コインマイニング活動

Recorded Futureは、イエメン国内で仮想通貨マイニングサービスCoinhiveを実行している973のホストを発見しました。JavaScriptベースのMoneroマイナーであるCoinhiveは、反政府勢力フーシ派がYemenNetを支配してから2年後の2017年初頭にリリースされました。通常、Web サイトに埋め込まれ、ユーザーの CPU または処理能力を利用して、Web サイトの所有者の利益のために暗号通貨をマイニングします。これにより、 多くの場合、ユーザーのブラウザがロックされ、 サイトを閲覧している間、ユーザーのデバイスのバッテリーが消耗します。973台のホストはすべてYemenNet ASN AS30873に属するMikroTikルーターであり、そのうち213台のホストは同じドメインdynamic.yemennet[.]あなたがた。

2018年10月、アバストは複数のクリプトジャッキングキャンペーンの レポートをリリース し、攻撃者がCVE-2018-14847を利用し、侵害、ハッキングルーターでCoinhiveを実行するために必要なJavaScriptコードを挿入する広く利用可能なエクスプロイト¹ を使用していました。 Recorded Future 、アバストが言及した独自の SSH ポートと Telnet ポートを使用している Monero マイナーを発見し、973 台のルーターのうち約 427 台が、アバストの (脅威についての)レポート作成ですでに言及されている、より広く標的された以前の、より広く標的されたキャンペーン。 他の 546 台のルーターは、これまでのところ以前のキャンペーンとのリンクがないまま放置されています。行方不明のホストの3分の1(189人)は、フーシ派が支配する首都サヌアにいる。Coinhive 管理者アカウントによって生成された「一意の」サイト キーは複数のホストで再利用されており、少数のアカウントがこれらのホストの大部分を制御していることを示唆しています。

さらに、感染したルーターはすべてYemenNetネットワークの一部ですが、TeleYemenが所有する同一のMikroTikルーターは感染していません。 これらのYemenNetルーターを感染させたのが誰なのか、なぜTeleYemenルーターも被害を受けなかったのかを特定することはできませんでした。 ただし、利用可能なデータから、次の 3 つのシナリオが考えられます。

1. TeleYemenのホストは、Avastのレポートで言及されている以前に発見された非イエメンのホストとCoinhiveのキーが部分的に重複しているため、別の犯罪的なCoinhiveキャンペーンの一部である可能性があります。
2. 空爆やその他の通常戦闘中にフーシ派のインターネットサービスの容量を低下させることに関心のある当事者は、利用可能なCoinhiveエクスプロイトを使用してYemenNetのマシンの速度を低下させ、政府の通信や民間のオンラインサービスを制限し、ホストをオフラインにすることさえできる可能性があります。
3. フーシ派が率いる政府は、自分たちのホストを使って、政権のための代替通貨を生み出そうとしている可能性がある。 飢饉と経済危機の時期に新たな収入源を確保すれば、飢饉が最も厳しいフーシ派地域に援助を提供し、ハーディー率いる政府に対して使用する通常兵器を追加購入することで、フーシ派主導の国内での正当化に向けた取り組みを強化することになる。

関与した関係者に関係なく、現在のコインマイニングキャンペーンはフーシ派が保有するインターネットリソースを枯渇させていると評価しています。Monero マイニング アルゴリズムは、通常のコンピューターが カスタムメイドのマイニング チップ (ASIC) を備えたコンピューターと同じくらい簡単に暗号通貨を生成できるように特別に設計されています。これはビットコインマイニングでは逆で、ASICのマイニング能力により標準的なPCが無効になります。Recorded Futureは、これらの取り組みからどれだけのMoneroが生成されたかを特定できませんでした。

予想されるサイバーターゲティングプロファイル

Recorded Futureは、イエメン紛争における主要な交戦国のそれぞれについて、特定のターゲティングプロファイルを予想していた。 このセクションでは、予想されるアクティビティと、それらの関係者に影響を与えるデータの違いや不足について説明します。

フーシ派最高政治評議会

フーシ派がイエメンの膨大な量のインターネットリソースを支配し、イランの支援を受けており、同国を事実上支配しているという事実は、サウジアラビア政府に敵対し続けている。これにより、彼らはサウジアラビアの監視の標的になる可能性が高い。Recorded Futureは、この監視が主にフーシ派の意図とイエメン全土での小競り合いの戦闘計画を特定するために使用され、ルーター、従来のホスト、Androidモバイルデバイスを標的にすると予想している。シチズン・ラボは、サウジアラビアがNSOグループのペガサス・スパイ・ツールを使用したことをiOSデバイスを標的にしたことを結びつけ、サウジアラビアがマルウェアの開発をアウトソーシングするという相対的な意図を示した。

Lookoutは 、NSOグループのAndroidデバイス用スパイウェアであるChrysaorが、通信にMessage Queue Telemetry Transport(MQTT)を使用していることを発見しました。このプロトコルは、トラフィックがSSL経由で暗号化される場合、TCP/IPポート1883とポート8883を使用します。このプロトコルは、一般的な MeetMe ソーシャル メディア プラットフォームでも 使用 されており、常に稼働時間がない遠隔地での接続に一般的に使用されます。フーシ派がYemenNetを支配しているにもかかわらず、Recorded FutureはYemenNetまたはそのコレクションの従来のChrysaor構成を使用して感染を特定できませんでした。

ハーディー政府

ハディ政権はサウジアラビアの 直接支援 を受けており、隣国におけるスンニ派とサウジアラビアの影響力を強化しようとしており、イランが支援するフーシ派と直接戦闘相手となっている。Recorded Future 、ハディ政権と 中国の協力により、イエメンの投資を監視する方法として、イエメンの活動を中国が監視するだろうと予想している。 さらに、Recorded Future は、イランの反体制派民間人や潜在的なイスラム国同調者に対して使用されている ことを発見した 、イランのモバイル監視マルウェアがこれらの部隊に対して展開されると予想しています。

南部分離主義者

正式には南部暫定評議会(STC)として知られる南部運動は、主にアラブ首長国連邦の支援を受けているが、しばしば 試練 を受け、 崩壊 してきたサウジ連合との不安な 連携 に陥っていることに気づいている。2018年10月、STC軍は アデンで蜂起を呼びかけ、ハディ政府の都市支配と正面衝突した。この活動 は、平和を求める国連のさらなる呼びかけを引き起こし、南イエメンの自治という目標に対する国際的な認識をさらに高めることができました。UAEとサウジアラビア政府の協力と一般的な同盟により、Recorded FutureはサウジがSTC軍を標的にするとは予想していません。同様に、STCはフーシ派と直接対立しているが、フーシ派はインターネットの保有が継続しておらず、携帯電話の範囲も定義されていないため、Recorded Futureは、イランのマルウェアがSTCを標的にするとは予想していない。

アラビア半島のアルカイダ

イエメンのアルカイダの関連組織は、驚くべきことに、独特の標的シナリオにある。カーネギー基金によると、このグループは主にサウジアラビア主導の連合軍の支援を受けており、フーシ派と戦うという共通の目標を共有している。サウジアラビアは過激派と不可 侵条約 に署名した。これは、米国がほぼ独占的にイエメンのAQAP部隊を標的にしているため、サウジアラビアの利益に対する米国の支援と矛盾する。イラン側は、サウジアラビアと連携した過激派による フーシ派勢力の標的 化に反対している可能性が高い。

カスペルスキーは、2012年から2018年にかけて、イエメンやその他の国の個々のルーターを標的にしたSlingshotフレームワーク を発見し ました。パチンコは、おそらくテロリストの監視にサイバーが使用された最も公表された例で、イスラム国とアルカイダのメンバーを標的にするために米軍によって使用されたと 言 われている。Recorded Futureは、この活動を特定できませんでした。

今後の展望

空爆活動が続いており、イエメンの派閥間の武力衝突があり、イエメンの インフラ と 公衆衛生が全般的に悪化しているにもかかわらず、イエメンのインターネットアクセスは耐久性の高い、レジリエンスの高い(に優れた)であることが判明する可能性があります。 イエメンに二重のバックボーンを構築するためにアデンネットが導入されたことで、フーシ派がサヌアを占領したときにインターネットアクセスが取り消された何千人もの市民への追加のネットワークアクセスポイントが生まれました。ただし、YemenNet 内の脆弱性は、インフラストラクチャ内でスパイ活動や破壊的なキャンペーンにつながり、フーシ派が支配する地域内のインターネット アクセスに損害を与える可能性があります。

Recorded Futureは、国内でインフレがさらに蔓延する中、サヌアのフーシ派政権は援助と軍事努力を強化するために代替形態の通貨を生み出す試みを続けるだろうと中程度の確信度で評価している。国内のマルウェアは、特にインターネットへの新しい形式のアクセスでは、今後も絶え間ない要因となるでしょう。同様に、イエメン国民の中には、過去にインターネットアクセスを管理したいという両政府の願望を理解しているため、政府のインターネット管理を回避し続ける可能性が高い。残念ながら、情報へのアクセスやサイバー手段は、イエメンを 飢饉、コレ ラの流行、または続く内戦の残 虐行為 の瀬戸際から取り戻すのに役立たない可能性が高い。

¹https://www[.]github[.]com/BasuCert/WinboxPoCの