PR

WIRED WIRED

米国の知財を狙った中国のハッカー、その手口と「標的」が見えてきた

ふたりは被害者が誰であろうと、ほぼ同じようなワークフローで標的を狙っていた。ふたりが関与したとされる攻撃の多さを思えば、それもうなずける。規模が大きければ効率性が重要になるからだ。

ふたりはまず、狙う価値のある標的を特定し、構成が不十分なネットワークや、標的がまだパッチを当てていない脆弱性を通して、足がかりを築こうとした。例えば、アドビはアプリケーションフレームワーク「ColdFusion」の重大なバグを2018年9月11日に明らかにしたが、李は同じ年の10月20日、そのバグを悪用してメリーランド州にある米国政府のバイオケミカル研究機関のネットワークにウェブシェル[編註:攻撃者が潜入に用いる“裏口”の一種]をインストールすることに成功した。

ウェブシェルは、李と董の活動を特徴づけるものだった。ふたりは特に標的となるネットワークに攻撃者がリモートアクセスできるようにする、入手しやすく比較的シンプルな「China Chopper」と呼ばれるマルウェアを好んでウェブシェルとして使っていた。

ふたりはまた、認証情報を盗み出すソフトウェアを使い、ユーザーネームとパスワードを手に入れていた。被害者のシステムへの十分な可視性を確保すると、盗みたいデータを圧縮したRARファイルにためこんだ。

裁判で示された文書には、Windowsがデフォルトで隠している「recycle bin」フォルダーを主な活動の拠点とするなど、その後ハッカーたちが自らの活動を隠すためにとった手順の概要が記されている。またふたりはウェブシェルとRARファイルに、無害な印象を与える名前を付けていた。例えば、それらの拡張子を「.jpg」に変えることで、中身が数十ギガバイトから数百ギガバイトにもなる知的財産のデータではなく、単純な画像ファイルに見えるようにしていた。

明らかに中国政府のために働いた事例も

起訴状には、李と董が関与した窃盗行為のほんの一部しか含まれていない。だが、それでも活動の手広さには目を見張るものがある。

ふたりは無線通信やレーザー、アンテナ技術などに関する200ギガバイト相当のデータを、カリフォルニア州の企業から盗んだとされる。また、バージニア州の防衛関連企業からは、米空軍のプロジェクトの詳細や、従業員と請負業者数百人の個人情報からなる140ギガバイトのデータを盗んでいた。さらに高効率ガスタービンを開発している機械メーカーからは、1テラバイトを超えるデータを盗んだ。

それだけではない。彼らの攻撃対象のリストには、複数のビデオゲーム会社や製薬会社、教育ソフトウエア会社1社、新型コロナウイルスの研究者をはじめとした数百にもなる世界中の標的が含まれていた。

内容によっては、李と董が独自に行動していたのか、それとも中国政府のために働いていたのか明確ではない事例もある。だが、その境界線がより明瞭なケースも存在していた。ふたりは天安門での抗議活動に参加したのちに亡命した人物と、ダライ・ラマの事務所が交わした電子メールを盗んだとされている。問題のメールには明確な金銭的価値はないが、中国政府にとっては大いに関心のあるデータだ。

逆に独自に行動していたことが明らかな事例もある。ふたりは17年にマサチューセッツ州のソフトウェア会社の従業員数人に「ソースコードが流出する!」と題したメールを送りつけ、仮想通貨で15,000ドルを支払うよう要求したとされる事例がある。

続きを読む

あなたへのおすすめ

PR

PR

PR

PR

ブランドコンテンツ