APT集団「Naikon」 中国人民解放軍78020部隊の支援が明らかに

October 7, 2015 08:00

by 『Security Affairs』

有名なAPT集団「Naikon」は、中国人民解放軍78020部隊の支援を受けている。オンライン上の行動を追跡していた企業が突き止め、新しいレポートで明かした。

「GreenSky27」としても知られるGe Xing（葛星）は、中国の国家ハッカーグループ人民解放軍78020部隊のメンバーとされる人物の名前だ。ThreatConnectとDefense Group Inc.が実施した共同調査によってこの人物が特定された。Ge Xingと彼の仲間は、中国の南シナ海への影響力を増大させるための情報を政府筋や軍事筋から収集している。

「ThreatConnectはDefense Group Inc.との協力の元、APT集団「Naikon』の関わる標的型サイバースパイ・インフラ活動が、中国人民解放軍（PLA）のある部隊によるものと特定した」とこのセキュリティインテリジェンス企業は説明する。「我々の査定は、Naikonの攻撃活動の技術的解析や78020部隊の人民解放軍幹部の母国語調査に基づいたものだ」

この調査結果の公開は、中国の国家主席習近平の公式訪米と同じタイミングで行われた。習主席は、最近セキュリティ企業によって明らかにされたサイバー諜報活動について、中国政府は一切関わっていないときっぱり否定している。

南シナ海は商業活動を行うのに魅力的なため、この地域の支配は中国政府にとって極めて重要だ。

「南シナ海は、中国にとって地政学上重要なエリアだと思われる」とDGIで次長を務める Dan Aldermanは説明した。「Naikonに関して言うと、彼らの活動はこの地域に注がれる大きな力の中でも重要な要素であると我々は見ている。そしてこの地域に影響を及ぼすために、技術偵察部は多方面の取り組みを行っている」

ThreatConnectとDefense Group Inc.が発行したレポートでは、何年も活動を続けるアジア最大規模のAPT集団の一つであるNaikon グループと、人民解放軍78020部隊との関連性を示している。Naikon グループのミッションでは、様々な分野の関係者がターゲットとなっていた。政府や軍、外交官を狙うハッキンググループ、法執行機関、フィリピンやマレーシア、カンボジア、インドネシア等アジア諸国の航空当局などだ。Naikonは、マレーシア航空MH370便が消息不明になった直後のサイバースパイ活動に関与したグループでもある。同グループは最近、別のAPT集団「Hellsing」とハッキング抗争を行っていた。

5月にKaspersky Labは、Naikon グループとそのサイバー諜報活動に関する詳細なレポートを発行した。専門家によると、このグループは先進的なハッキングツールを使用しているという。

Naikon グループは、標的に対して極めて正確なスピアフィッシング攻撃を実行するようだ。このグループのハッカーはWordやOfficeの文書を使用し、WindowsライブラリMSCOMCTL.OCXの ActiveXコントロールにおいてバッファーオーバーフローを発生させる（CVE-2012-0158）。このエクスプロイトにより、攻撃者は被害者をRATに感染させ、被害者のシステムにバックドアを構築するようだ。

Geは単なる軍人ではなく、研究員とされている。研究チームは彼のオンライン上の活動を解析し、彼の所在地が人民解放軍技術偵察部の本部であることを突き止めた。

「このような実在人物の調査を実施する際、技術的証拠と非技術的な証拠を直接分析することで、このグループによる他の活動の実態を描き出すことができた」とThreatConnectのCIO兼共同創業者Rich Bargerは語った。「我々は、（人民解放軍78020部隊に関連する）何百ものハッシュやドメイン、何千ものIPアドレスを入手していた。これを技術的な視点からのみ見ると、それなりのものしか得られない。しかし地域や文化、言語的な側面を導入すると、技術的な発見の上に積み重なったさらなる背景を導き出すことができる。また、より広いグループにつながる新たな情報をアップデートし続けることもできる」

また、このレポートでは、Naikon グループが使ったと考えられるマルウェア・ファミリーに実名を組み込むといった、Geが起こした一連のオペレーション上のセキュリティミスについても詳述されている。Naikonグループと人民解放軍のエリート部隊はとても親密なようだ。

「中国がどこにあるのか、南シナ海にどれだけ積極的な姿勢を示しているかということに目を向けると、それはこのグループが得たものや勝ち取った一部を反映しているに違いない」とBargerは言う。「もし操作可能なマシンを利用した諜報のサポートがなければ、彼らがこの地域で及ぼしているような影響は出せないだろう」

今回の調査で報告された重要な調査結果は以下の通りだ。

東南アジアの標的に対する諜報活動用のNaikonのマルウェアにて常に使用されるコマンド＆コントロール（C＆C）インフラの過去に遡っての分析から、中国南西部雲南省の省都である昆明市との強いつながりが明らかになった。

C＆Cのドメイン「greensky27.vicp[.]net」はNaikon独自のマルウェア内に常に見られた。「greensky27」というニックネームは、悪意のあるドメインを所有し、操作する関係者を表している。

更なる調査によって、昆明に住む中華人民共和国国民Ge Xing（葛星）が所有する「greensky27」という多数のソーシャルメディアアカウントが発覚した。

素晴らしい結果だ。詳しくはレポートを参照ください。

翻訳：編集部

原文：Naikon APT Group backed by the Chinese PLA Unit 78020

※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです。