China-Linked Cyberespionage Operation Suggests Interest in SCADA Systems
2021/08/05 SecurityWeek — 中国を拠点とするサイバースパイ集団が、東南アジア諸国の重要インフラ組織を標的にしていることが確認されて、攻撃者たちが産業用制御システム (ICS : Industrial Control Systems) に関心を示している可能性が生じた。中国の脅威アクターたちが、東南アジアを標的にすることは珍しいことではない。ここ数年、この地域の軍事/通信/技術/政府の組織を標的にしていることが確認されている。木曜日に Broadcom の一部門である Symantec は、同社の脅威ハンター・グループが、東南アジアの4つの重要インフラ組織に対して、ある脅威アクターが攻撃を仕掛けたことを確認したと報告している。
この、情報収集が目的と思われる作戦は、2020年11月 (それ以前からの可能性もある) に開始され、少なくとも2021年3月まで続けられたという。攻撃の痕跡を示す IPアドレス、マルウェア、被害者の性質や場所などから、これらの4つの組織は同じグループに狙われていたと考えられる。一部の証拠は、ハッカーが中国を拠点としていることを示唆しているが、この活動が既知の脅威アクターによるものだとは、Symantec は断定していない。このハッカーは、水道会社、電力会社、通信会社、防衛機関を標的としていた。
Symantec の研究者たちは、どのような種類の情報を、攻撃者が盗んだのかを正確に特定することはできなかったが、侵害されたマシンから何らかのヒントを得ることができた。例えば、水道会社を狙った攻撃では、SCADA (Supervisory Control and Data Acquisition) システムの設計に関わるマシンにアクセスしており、このようなシステムに興味を持っていた可能性が生じている。電力会社の場合は、感染したデバイスの1台が、エンジニアリング設計に使用されていた。このグループは、Windows Management Instrumentation (WMI) や、ProcDump、PsExec、PAExec、Mimikatz といった、複数の正規ツールおよびデュアルユース・ツールを用いて目的を達成した。また、フリーのマルチメディア・プレーヤーを悪用した DLL ハイジャックや、Google Chrome Frame と呼ばれる正規の Internet Explorer プラグインを用いた可能性もある。
さらに、この攻撃には、キーロガー、バックドア、ダウンローダーが含まれていた。これらのツールにより、攻撃者は認証情報などを盗み出し、対象となるネットワーク内を横方向に移動することができた。Symantec のブログには、「数ヶ月にわたって攻撃者たちが、標的としたネットワーク上でステルス的な存在を維持できたことは、彼らが熟練していたことを示している。他国の熟練した脅威アクターが、防衛組織を含む複数の重要インフラ組織を侵害することで、その国の重要インフラを深く洞察することは、貴重な情報を敵の手に渡すことになる」と記されている。
先日に「CISA / FBI 警告:中国政府が支援するハッカーたちが米パイプラインに侵入している」という記事をポストしましたが、こちらに関しては CISA と FBI が追跡しているとのことです。その他にも、「フランスを標的とする中国のスパイ活動がルーターを侵害しながら広まっている」や「ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている」にあるように、ヨーロッパでも中国の動きは活発になっています。また、Huawei の事件を巡ってはカナダとも緊張関係にあり、オーストラリアとも揉めています。いま以上の大事にならないと良いですね。
IoT OT Security News 