【ニュース宅急便】Facebook中共国のハッカーに挑む

中国語訳:ヒマラヤ東京櫻花団 / Porsche
和訳:ヒマラヤ東京櫻花団 / 旭鵬(文鵬)


画像リンク

Facebookの脅威情報アナリストとセキュリティ専門家は、国家機関やその他のグループによるサイバースパイ活動、影響力の行使、および国家レベルのプラットフォームへのハッキングなど、幅広い脅威を発見し、阻止するために活動している。このような取り組みの一環として、当社のチームは、日常的に敵対者のアクションを無効にし、アカウントを保護するための措置を取るべきかどうかをユーザーに通知、発見した情報を公開して当社製品の安全性を継続的に向上させている。

今日、当社が共有したいのは、中共国のハッカーグループに対し、取った行動についてである。今回の行動を通じて、プラットフォームを悪用し、マルウェアを配布したり、インターネット上で人々のアカウントに侵入しようとしたりする彼らの能力を破壊した。これらのハッカーは、セキュリティ業界では「Earth Empusa」または「Evil Eye」と呼ばれている。彼らの標的は主にトルコ、カザフスタン、米国、シリア、オーストラリア、カナダなど海外に住む中国新疆ウイグル自治区出身の活動家、ジャーナリストと反体制活動家である。このようなグループは、様々なサイバースパイ戦術を用いてターゲットを特定し、そのデバイスにマルウェアを感染させて監視を可能にしている。

これは、十分なリソースを使った持続的な活動であると特徴づけられる一方で、背後にいる人物が誰であるかを不明瞭にしている。当社のプラットフォームでは、このようなサイバースパイ活動は、マルウェア自体を直接共有するのではなく、悪意のあるウェブサイトへのリンクを送信することで現れるのが主な特徴だった。このような活動は時期によって鈍化するが、恐らくは当社や他社が彼らの活動を妨害するために行った行動に反応したものと思われる。

我々が発見した、このような脅威アクターがインターネット上で使用していた手口、技術、手順(TTPs)は以下の通りだ:

•   選択的ターゲティングと脆弱性利用保護。このグループは、彼らの活動を隠し、その悪事を防ぐための措置を取っている。IPアドレス、オペレーティングシステム、ブラウザ、国や言語の設定など、いくつかの技術的チェックを通過した人だけが、iOSマルウェアに感染することになる。

•   ニュースサイトの改ざんとなりすまし。このグループは、人気のあるウイグル語やトルコ語のニュースサイトにそっくりなドメインを使った悪意のあるウェブサイトを作成した。また、ウォータリングホール攻撃の一環として、ターゲットが頻繁に訪れる正規のウェブサイトをハッキングしていた。ウォータリングホール攻撃とは、ハッカーがそのターゲットが頻繁に訪れるウェブサイトで感染させ、その端末を危険にさらす攻撃だ。これらのウェブページの中には、以前、報告されたエクスプロイトに類似した悪意のあるjavascriptコードが含まれるものもあった。人々のデバイスが侵入されると、「INSOMNIA」と呼ばれるiOSマルウェアがデバイスにインストールされるのだ。

•   ソーシャルエンジニアリング。このグループは、Facebookの偽アカウントを利用して、ジャーナリスト、学生、人権活動家、ウイグル人コミュニティのメンバーなどを装った架空の人物を作り、ターゲットとなる人々との信頼関係を築き、悪意のあるリンクをクリックさせるように仕向けた。

•   偽の第三者アプリストアの使用。このグループは、Androidのサードパーティアプリストアを模したウェブサイトを立ち上げていることを我々は発見した。そこでウイグル語がテーマのキーボードアプリ、祈りのアプリ、辞書アプリなどのアプリを公開していた。これらのアプリには、「ActionSpy」や「PluginPhantom」という2種類のAndroidマルウェアがトロイの木馬化(真の意図を誤認させるマルウェアの混入)されていた。

•   マルウェアの開発を外注する。このグループは、複数の異なるAndroid向けマルウェアファミリーを使用していることが確認されている。具体的には、当社の調査およびマルウェアの分析により、北京百思聯科技有限公司( Best United Technology Co.「Best Lh」) と大連9 Rush科技有限公司(Dalian 9Rush Technology Co. Ltd.「9Rush」)の2社が、このグループが導入しているAndroidツールの一部を開発していることが分かった。そのうちの1社については、サイバーセキュリティ企業であるFireEye社の調査結果を参考にしている。これらの中共国企業は、様々なレベルの運用セキュリティを備えたベンダーネットワークの一部であると考えられる。 

•   業界の動向。我々の業界の同業他社がこれらの活動を追跡、これらの活動の一部は、「Earth Empusa」、「Evil Eye」、「PoisonCarp」などの名称で知られる単一の脅威アクターによるものであることが分かった。我々の調査では、今日我々が阻止した活動は、Earth EmpusaまたはEvil Eyeと呼ばれる最初の2つの活動と密接に関連していることが確認された。PoisonCarpは、同じベンダーが開発したマルウェアを標的としたり、使用したりするなど、いくつかのTTPを共有しているが、我々のプラットフォーム上での分析によると、これは独立した活動群であると考えられる。

我々は、調査結果と脅威の指標を同業他社と共有、同業他社もこのような活動を検知して阻止できるようにした。また、このような活動を阻止するために、我々は悪意のあるドメインが当社のプラットフォームで共有されないようにブロックし、これらのグループのアカウントを停止し、当該脅威行為の標的になったと思われる人々に通知した。

リンク:

英語コンテンツ

中国語訳

この記事は著者の意見であり、GNewsとは関係ありません

校正:ヒマラヤ東京櫻花団 / 茉莉花
責任編集:ヒマラヤ東京櫻花団 / 旭鵬(文鵬)
アップロード:ヒマラヤ東京櫻花団 / 煙火1095

0325J183fe

+5
1 Comment
Inline Feedbacks
View all comments
Joyce
22 days ago

すごい写作力

0