Comment Groupのこれまでの活動

(3/6 追記あり)
昨日、米国のセキュリティ会社 Mandiantが APTに関する詳細なレポート(APT1: Exposing One of China's Cyber Espionage Units)を公開しました。

このレポートの中で Mandiantは 2006年から観測されている一連のサイバースパイ活動(彼らは APT1と呼称しています)の実態を明らかにし、その活動主体が人民解放軍のある部隊と考えられるとの結論を示しています。またこれまでに報道されている類似の事例のうち、Comment Crew および Comment Group*1として知られているものは、APT1と同一であるとの見解も示しました。

非常に興味深い内容のレポートなので、「Mandiantのレポートはおもしろいかね?」という記事を書こうと思っていたのですが、まずはその前にこれまで Comment Group (または Crew)による活動として報道されている事例についてまとめておきたいと思います*2


「そもそも APTってなに?」という方は、まずはこちらの記事をご覧ください*3

Comment Groupの概要

Comment Groupは APTの活動主体の一つで、かなり前から知られていました。2008年に WikiLeaksによって公開された米外交公電には "Byzantine Candor" (BC)というコードネームで呼ばれるサイバースパイ活動についての記述があります。これは Comment Groupと同一の活動を示していると見られています。BCの活動は 2002年頃から米国では把握されていたようです。

Coca-Cola (2009年)

Bloombergが2012年11月に公開した記事によると、Coca-Colaは2009年に中国企業の買収を検討していた際、Comment Groupによる攻撃によって、買収に関する内部文書などが漏洩していたようです。(結局この買収提案は中国商務省によって却下され実現しませんでした。)

Coke Gets Hacked And Doesn’t Tell Anyone - Bloomberg

なお同記事では、Coca-Colaの他にも BG、ArcelorMittal、Chesapeake Energyなどの企業も被害に遭っていたと紹介されています。

Solid Oak Software (2009年 - 2012年)

中国政府は 2008年にコンテンツフィルタリングソフトを開発して(実際には 2つの会社に開発を委託)、2009年より国内の全ての PCへのインストールを義務付けました。このソフトは「绿坝·花季护航 (Green Dam Youth Escort)」という名前で知られています。2009年にミシガン大学の研究者らはこのソフトに脆弱性があることを見つけると同時に、CYBERsitterというソフトのブラックリストを不正に流用していることを見つけ、これらの事実を公開しました。CYBERsitterはカリフォルニア州の小さなソフトウェア会社である Solid Oak Softwareが開発したコンテンツフィルタリングソフトです。この会社はソフトの不正流用を知ると法的措置を検討することにしましたが、その前後からマルウェアが添付されたメールなどによる攻撃を受けるようになりました。2010年にこの会社は裁判をおこしますが、2012年に裁判が和解するまでのおよそ 3年間にわたって執拗に攻撃を受け続けました。その後のセキュリティ研究者らの分析により、この攻撃活動は Comment Groupによるものと考えられています。

China Mafia-Style Hack Attack Drives California Firm to Brink - Bloomberg
Cybersitter sues China for piracy - FT.com

RSA (2011年)

2011年3月に RSAが外部からの攻撃を受け、同社製品の SecurIDに関する情報が外部に漏洩したことを発表しました。また RSAは自らその攻撃の手口について解説する記事も公開しています。その後の 5月に Lockheed Martinへの攻撃でこの情報が悪用されたことが判明し話題となりました。

事件の経緯については以前書いた記事もご覧ください。


このとき RSAへの攻撃に使用されたマルウェアの一つと C&Cサーバとの通信パターンから、HTranと呼ばれる中国製の中継ツールと類似していることが、Dell SecureWorksの解析でわかっています。また同社や FireEyeなどのその後の調査により、Comment Groupの活動との関連が示されています。
(注: Mandiantの CSOである Richard Bejtlichは Forbesによるインタビューの中で、RSAへの侵入事件は APT1によるものではないと示唆しています。)

HTran and the Advanced Persistent Threat | Dell SecureWorks
Chasing APT | Dell SecureWorks
Operation Beebus | FireEye Blog

欧州理事会 (2011年)

2011年7月に欧州理事会が外部からの侵入を受け、理事長である Herman Van Rompuyのメールなどの情報が外部に漏洩していたことが、Bloombergの記事(2012年7月)により明らかになりました。同記事では他にも Halliburton、Wiley Rein LLP、ITCなども被害に遭っていたと紹介されています。(記事には各企業への攻撃のタイムラインも掲載されています。)
また記事の最後には Comment Groupの主要メンバーの一人と考えられている "Ugly Gorilla" の名前も出ています。(今回公開された Mandiantのレポートには "Ugly Gorilla" の実名や詳しいプロフィールが掲載されています。)

Hackers Linked to China’s Army Seen From EU to D.C. - Bloomberg
China Hackers Activity Logged Reveals Multiple Victims Worldwide - Bloomberg

Operation Shady RAT (2011年)

2011年8月、セキュリティ会社の McAfeeは、過去 5年間に世界の70以上の組織に対して行われた攻撃 "Operation Shady RAT"についてのレポートを公開しました。

Operation Shady RATの全貌 | マカフィーのセキュリティ研究レポート

攻撃に利用されるマルウェアの挙動について、このレポートでは以下のような説明があります。(上記レポートから一部引用)

このマルウェアは、実行されるとコマンド&コントロールWebサーバーへのバックドア通信チャネルを開始し、Webページコード内に埋め込まれた非表示コメント内にコード化されている命令を解釈します。

これは Comment Groupの特徴にあてはまります。さきほど紹介した Dell SecureWorksや FireEyeの研究者らは、Operation Shady RATの活動は Comment Groupの一部だろうと考えています。また、Mandiantのレポートでは確認はできていないとしながらも、おそらく APT1と同一であるとしています*4

Digital Bond (2012年)

2012年6月、制御系システムを専門とするセキュリティ会社 Digital Bondがスピアフィッシング攻撃を受けたことを明らかにしました。幸いこの攻撃は失敗に終わりましたが、攻撃に利用されたマルウェアの分析結果から、この攻撃が Comment Groupや RSAへの攻撃活動に関連するものであることが示されています。

Digital Bond (Unsuccessfully) Spear Phished
Analysis of Spear-Phishing File | Digital Bond
Unveiling a spearphishing campaign and possible ramifications - AlienVault Labs

Telvent (2012年)

2012年9月、カナダの Telventが外部から侵入を受け、SCADA関連の製品情報が外部に漏洩したことがわかりました*5。Telventから顧客に送られたレターには攻撃に利用されたマルウェアや C&Cサーバの情報が掲載されていました。Dell SecureWorksによると、これらは Comment Groupの活動に関連するものだということです。

Chinese Hackers Blamed for Intrusion at Energy Industry Giant Telvent — Krebs on Security


以上、まだまだ他にもたくさんあるとは思いますが、ざっとこんな感じです。Mandiantのレポートはこれからじっくり読みこまないと…
(読み込んだ結果のまとめがコチラです。)


(3/6 追記)
Mandiantレポートにおいて APT1の活動として紹介されていた Solid Oak Softwareの事例と Digital Bondの事例を追加しました。

*1:C&Cサーバとして Webページのコメントに命令コードを埋めこむ手法からこの名前がつきました。

*2:76ページもあるレポートを読むのが大変なので、適当にお茶を濁そうとしているわけではありません。

*3:APTは「新しいタイプの攻撃」ではありません。

*4:Mandiantのレポートにある APT1の活動分布と Shady RATの活動分布を見比べると、ほとんど一致していることがわかります。

*5:Telventは SCADAシステムなどを取り扱うIT会社で、2011年に Schneider Electricに買収されています。