台湾は中国との実存的な対立に直面しており、何年もの間、中国国営のハッカーの標的にされてきた。しかし、台湾のあるセキュリティ会社の調査では、中国のハッカーの一団が台湾経済の中核をなす産業に深く侵入し、実質的に半導体産業の機密情報を略奪することができたことが明らかになった。

6日開催されたBlack Hatセキュリティカンファレンスでは、台湾のサイバーセキュリティ企業CyCraftの研究者が、過去2年間で少なくとも7つの台湾のチップ企業に侵入したハッキングキャンペーンの新たな詳細を発表した。一連の侵入は、攻撃者が「スケルトン・キー・インジェクター」と呼ばれる手法を使用したことから「オペレーション・スケルトン・キー」と呼ばれ、ソース・コード、ソフトウェア開発キット、チップ設計など、可能な限り多くの知的財産を盗むことを目的としているように見えた。

CyCraftは以前、このハッカー集団に「キメラ」という名前をつけていたが、今回の新たな調査結果には、彼らを中国本土に結びつけ、悪名高い中国の国営ハッカー集団「Winnti」(別名「バリウム」や「Axiom」とも呼ばれています)とゆるくリンクしている証拠が含まれている。

スケルトンキー

CyCraftの研究者は、被害を受けた企業の名前は明らかにしなかった。一部の企業はCyCraftの顧客であり、CyCraftは、Forum of Incident Response and Security Teamsとして知られる調査グループと協力して他の侵入を分析した。犠牲になった半導体企業のうちのいくつかは、台湾北西部の新竹市にある新竹工業団地に本社を置く企業でした。

研究者たちは、少なくともいくつかのケースでは、ハッカーたちが仮想プライベートネットワークに侵入して被害者のネットワークに最初にアクセスしたように見えたが、VPNアクセスのための資格情報を取得したのか、あるいはVPNサーバーの脆弱性を直接利用したのかは明らかではなかった。その後、ハッカーたちは通常、ペネトレーションテストツール「Cobalt Strike」のカスタマイズ版を使用し、Google Chrome のアップデートファイルと同じ名前をつけてマルウェアを仕込んだことを偽装した。また、GoogleやMicrosoft のクラウド サービスでホストされているコマンド・アンド・コントロール サーバーを使用し、通信が異常であることを検出しにくくしているという。

ハッカーは、最初のアクセスポイントから、暗号化ハッシュで保護されたパスワードのデータベースにアクセスして、ネットワーク上の他のマシンに移動し、それらをクラックしようとした。CyCraftのアナリストによると、ハッカーたちは可能な限り、指紋を明らかにするマルウェアをマシンに感染させるのではなく、盗まれた資格情報やユーザーが利用できる合法的な機能を使ってネットワークを移動し、さらにアクセスするようにしていたという。

しかし、CyCraftが発見した最も特徴的な戦術は、大規模なネットワークでアクセスのルールを設定する強力なサーバーであるドメインコントローラを操作する手法だった。一般的なハッキングツールであるDumpertとMimikatzのコードを組み合わせた特注のプログラムを使って、ハッカーはドメインコントローラのメモリに新しい権限を持つユーザーを作成する。その新たに作成されたユーザーは、会社中のマシンにアクセスすることができる。

中国との関係

CyCraftは今年4月、スケルトンキー作戦に関するこれらの発見のほとんどをひっそりと発表した。おそらく、これらの新しい手がかりの中で最も注目すべきものは、本質的にハッカーをハッキングすることから得られたものだ。CyCraftの研究者は、キメラグループが被害者のネットワークからデータを流出させるのを観察し、彼らの通信からコマンドアンドコントロールサーバーへの認証トークンを傍受することができた。その同じトークンを使って、CyCraftのアナリストはクラウドサーバーの内容を閲覧することができた。その中には、ハッカーのための「チートシート」と呼ばれるものが含まれており、典型的な侵入のための標準的な操作手順が説明されていた。その文書は、台湾ではなく中国本土で使用されている簡体字で書かれていた。

また、ハッカーたちは、北京のタイムゾーン内で主に行動し、中国のハイテク産業で一般的な「996」の作業スケジュール(午前9時から午後9時まで、週6日の勤務体制)に従っており、中国本土の祝日は休んでいるように見えた。最後に、CyCraftは、台湾や外国の情報機関との協力から、同様の手法を用いたハッカーグループが台湾の政府機関も標的にしていたことを知ったと述べている。

しかし、特に明らかになったのは、複数の被害者のネットワークに1つのバックドアプログラムが存在していたことだ。これは、10年以上前から活動しており、中国本土に拠点を置いていると広く信じられているハッカーの大規模な集合体であるWinntiグループが以前に使用していたものだとCyCraftは主張している。

近年、Winntiは、中国の利益に沿った国家主導のハッキングと思われるものと、ゲーム会社をターゲットにした営利目的の犯罪ハッキングが混在していることで知られるようになってきた。2015年にシマンテックは、Winntiもまた、CyCraftが台湾の半導体企業に対して使用されているのを発見したようなスケルトンキーインジェクション攻撃を使用しているように見えたことを発見した(CyCraftは、Chimeraが実際にWinntiであるかどうかはまだはっきりしていませんが、その可能性はあると考えている)。

カスペルスキーは、2013年に発表された調査で初めてWinntiグループを発見し、その名前を挙げたが、昨年、台湾に拠点を置くAsusが販売するコンピュータの更新メカニズムを乗っ取る攻撃にリンクしていた。同社によると、WinntiはCyCraftが注目している半導体メーカー以外にも、通信からハイテク企業まで、幅広い台湾企業への攻撃に責任を持っている。

中国が隣国に大規模なハッキングを行っている中でも、CyCraftは、半導体産業は特に危険なターゲットであると主張している。チップの回路図を盗むことで、中国のハッカーは、コンピューティング・ハードウェアに隠された脆弱性をより簡単に掘り起こすことができる可能性があると彼は指摘している。「回路図レベルでチップを深く理解していれば、あらゆる種類のシミュレーション攻撃を実行して、リリース前に脆弱性を発見することができる」という。デバイスが市場に出回る頃には、すでに脆弱性を発見している。

CyCraftは、ハッカーが盗まれたチップの設計書やコードを使って何をしているのかを判断できないことを認めている。ハッキング・キャンペーンの動機としては、中国の半導体メーカーをライバルよりも優位に立たせることにあると思われる。「これは台湾経済の一部を破壊し、長期的な存続可能性を損なうものである」とダフィーは言う。「この攻撃の範囲を見ると、業界全体、サプライチェーンの上下を問わず、力関係をシフトさせようとしているように見える」とダフィーは言う。すべての知的財産が中国の手に渡っているのであれば、中国はより大きな力を持っていることになる」

参考文献

  1. CyCraft. Chimera APT Threat Report. April, 2020.

Photo by Erik Mclean on Unsplash