Red Apollo
| 設立地 | 中華人民共和国 |
|---|---|
| 目的 | サイバースパイ、サイバー戦争 |
| 公用語 | 中国語 |
| 関連組織 | 中華人民共和国国家安全部 天津市国家安全局 |
| 特記事項 | 攻撃方法:ゼロデイ攻撃、フィッシング、バックドア、RAT、キーロガー |
かつての呼び名 |
APT10 Stone Panda MenuPass RedLeaves CVNX POTASSIUM |
Red Apollo(または、APT 10(Mandiantによって呼称される)、または、MenuPass(ファイア・アイ)、Stone Panda(Crowdstrike)、POTASSIUM(Microsoftによって呼称される)[1][2])は、2006年から活動する中華人民共和国の国家支援を受けたサイバースパイグループである。
2018年、アメリカ合衆国司法省は起訴状で当グループを中華人民共和国国家安全部の天津市国家安全局に帰属させている[3]。
このグループはサイバーセキュリティ企業ファイア・アイによって高度で持続的な脅威に指定されており、航空宇宙、工学、通信企業、および中国が敵対する政府を標的にしていると報告されている。
ファイア・アイは、日本の大学などにおける教育機関の知的財産を標的にしている可能性があり、アメリカと同盟関係にある国の管轄内の教育分野にハッキングを拡大する可能性が高いと言及した[4]。またファイア・アイは、2009年からこのグループを追跡していたが脅威が低く、よって優先度も低かったとしている[4]。
戦術[編集]
このグループは、リモートアクセス型トロイの木馬 を使用し、管理情報技術サービスプロバイダ(MSP)を直接標的としている。MSPの一般的な役割は、企業のコンピュータネットワークの管理の支援であるが、MSPは、スピアフィッシングメールを使用して、Poison Ivy、FakeMicrosoft、PlugX、ArtIEF、Graftor、またはChChesによって頻繁に侵害されている[5]。
経緯[編集]
2014年から2017年 クラウドホッパー作戦[編集]
クラウドホッパー作戦は、2017年にイギリス、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、オーストラリアのMSPを標的に大規模攻撃と情報窃取を行った。このグループはMSPを仲介者として、MSPクライアントのエンジニアリング、工業製造、小売、エネルギー、製薬、通信、政府機関から資産と企業秘密情報を窃盗した。
クラウドホッパー作戦では、70種超のバックドア、マルウェア、トロイの木馬 が使用された。これらはスピアフィッシングメールを通じて配信された。攻撃にはタスクのスケジュール、サービスやユーティリティの利用など、コンピュータシステムが再起動されてもMicrosoft Windowsシステムに存続した。システムにアクセスしてデータを盗むために、マルウェアやハッキングツールがインストールされた[5]。
2016年のアメリカ海軍の人員データ[編集]
ハッカーは、330,000人中、130,000人のアメリカ海軍軍の記録にアクセスした[6]。これらの行動の下で、アメリカ海軍はサイバー攻撃の前に警告が出されていたが、DXCテクノロジーと調整することを決定した[7]。影響を受けたすべての兵士は通知を受けることが義務付けられた。
2018年の起訴[編集]
2018年の起訴状によれば、CVNXはグループ名ではなく、2人のハッカーのうちの1人の別名であるという証拠が提示され、2人とも、まるで5人以上のハッカーが攻撃したかのように見せる目的でそれぞれ4つの別名が使用されていた。
起訴後の活動[編集]
2019年4月にはAPT10として、フィリピンの政府機関及び民間組織を標的にした[8]。
2020年、シマンテックは日本国内の標的に対する一連の攻撃にRed Apolloが関与していると指摘した[9]。
2021年3月、バイオテクノロジー企業のバーラト・バイオテックと世界最大のワクチンメーカーであるセラム・インスティテュート・オブ・インディアの知的財産を情報窃盗の標的にした[10]。
脚注[編集]
- ^ “APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat” (英語). FireEye. 2021年4月28日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
- ^ Kozy, Adam (2018年8月30日). “Two Birds, One STONE PANDA” (英語). 2021年1月15日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
- ^ “Two Chinese Hackers Associated With the Ministry of State Security Charged with Global Computer Intrusion Campaigns Targeting Intellectual Property and Confidential Business Information” (英語). アメリカ合衆国司法省 (2018年12月20日). 2021年5月1日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
- ^ a b “APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat « APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat”. FireEye (2017年4月6日). 2021年4月28日時点のオリジナルよりアーカイブ。2019年6月30日閲覧。
- ^ a b “Operation Cloud Hopper: What You Need to Know - Security News - Trend Micro USA”. trendmicro.com (2017年4月10日). 2019年6月30日時点のオリジナルよりアーカイブ。2019年6月30日閲覧。
- ^ “Chinese hackers allegedly stole data of more than 100,000 US Navy personnel”. MIT Technology Review. 2019年6月18日時点のオリジナルよりアーカイブ。2019年6月30日閲覧。
- ^ “US Navy Sailor Data 'Accessed by Unknown Individuals'”. bankinfosecurity.com. 2019年6月30日時点のオリジナルよりアーカイブ。2019年7月12日閲覧。
- ^ Manantan, Mark (2019年9月). “The Cyber Dimension of the South China Sea Clashes”. The Diplomat. The Diplomat. オリジナルの2016年2月17日時点におけるアーカイブ。 2019年9月5日閲覧。
- ^ “Symantec implicates APT10 in sweeping hacking campaign against Japanese firms”. www.cyberscoop.com. Cyberscoop (2020年11月17日). 2020年11月18日時点のオリジナルよりアーカイブ。2020年11月19日閲覧。
- ^ N. Das, Krishna (2021年3月1日). “Chinese hacking group Red Apollo (APT10) had identified gaps and vulnerabilities in the IT infrastructure and supply chain software of Bharat Biotech and the Serum Institute of India (SII), the world's largest vaccine maker”. ロイター. オリジナルの2021年5月3日時点におけるアーカイブ。 2021年3月1日閲覧。