レッドアポロ
| 形成 | 2003年~2005年頃[1] |
|---|---|
| タイプ | 高度な持続的脅威 |
| 目的 | サイバースパイ活動、サイバー戦争 |
地域 | 中国 |
| 方法 | ゼロデイ、フィッシング、バックドア(コンピューティング)、RAT、キーロギング |
公用語 | 中国語 |
親組織 | 国家安全部天津国家安全局 |
以前は | APT10ストーンパンダメニューパスRedLeaves CVNXカリウム |
レッドアポロ(MandiantではAPT 10、FireEyeではMenuPass、CrowdstrikeではStone Panda、MicrosoftではPOTASSIUMとしても知られる)[ 1 ] [ 2 ]は、2006年から活動している中国政府が支援するサイバースパイ集団である。2018年の起訴状で、米国司法省は、この集団を国家安全部天津国家安全局に帰属させた。[ 3 ]
このチームはFireEyeによって高度で持続的な脅威に指定されており、同チームは航空宇宙、エンジニアリング、通信企業、および中国のライバルと思われる政府を標的にしていると報告されている。
FireEyeは、このグループが日本の大学などの教育機関の知的財産を標的にしている可能性があり、米国と同盟関係にある国の管轄区域における教育分野にも活動を拡大する可能性が高いと述べた。[ 4 ] FireEyeは、2009年からこのグループを追跡していたが、脅威度が低かったため、優先度は高くなかったと主張している。FireEyeは現在、このグループを「世界中の組織にとっての脅威」と表現している。[ 4 ]
戦術
このグループは、 RATを用いてマネージド情報技術サービスプロバイダー(MSP)を直接標的としています。MSPの一般的な役割は、企業のコンピュータネットワークの管理を支援することです。MSPは、Poison Ivy、FakeMicrosoft、PlugX、ArtIEF、 Graftor 、ChChesといったスピアフィッシングメールによって、しばしば侵害を受けています。 [ 5 ]
歴史
2014年から2017年:クラウドホッパー作戦
クラウドホッパー作戦は、2017年に英国、米国、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、オーストラリアのMSPを標的とした大規模な攻撃と情報窃盗でした。このグループはMSPを仲介者として利用し、MSPを顧客とするエンジニアリング、製造、小売、エネルギー、製薬、通信、政府機関から資産や企業秘密を盗み出しました。
クラウドホッパー作戦では、70種類以上のバックドア、マルウェア、トロイの木馬が使用されました。これらはスピアフィッシングメールを通じて配信されました。攻撃はタスクをスケジュールしたり、サービスやユーティリティを利用したりすることで、コンピュータシステムが再起動されてもMicrosoft Windowsシステムに残存する状態を維持しました。システムにアクセスしてデータを窃取するためのマルウェアやハッキングツールがインストールされました。[ 5 ]
2016年米海軍人事データ
ハッカーは、米海軍の人員33万人のうち13万人に関する記録にアクセスした。 [ 6 ]これらの措置を受けて、海軍は、侵害前に警告が出されていたにもかかわらず、ヒューレット・パッカード・エンタープライズ・サービスと連携することを決定した。[ 7 ]影響を受けたすべての船員に通知する必要があった。
2018年の起訴状
2018年の起訴状では、CVNXはグループ名ではなく、2人のハッカーのうちの1人の偽名であることが示されました。2人ともそれぞれ4つの偽名を使い分け、あたかも5人以上のハッカーが攻撃を行ったかのように見せかけていました。
起訴後の活動
2019年4月、APT10はフィリピンの政府機関と民間組織を標的にしました。[ 8 ]
2020年、シマンテックは、日本国内の標的に対する一連の攻撃にレッドアポロが関与していると示唆した。[ 9 ]
2021年3月、彼らは世界最大のワクチンメーカーであるバーラト・バイオテックとセラム研究所(SII)の知的財産を盗み出すことを標的とした。[ 10 ]
参照
参考文献
- ^ 「APT10(MenuPassグループ):新たなツールと世界的なキャンペーンは長年の脅威の最新の兆候」 FireEye . 2021年4月28日時点のオリジナルよりアーカイブ。 2021年3月7日閲覧。
- ^ Kozy, Adam (2018年8月30日). 「Two Birds, One STONE PANDA」 . 2021年1月15日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
- ^ 「国家安全部と関係のある中国人ハッカー2名、知的財産と機密企業情報を狙った世界的なコンピュータ侵入キャンペーンで起訴」米国司法省2018年12月20日オリジナルより2021年5月1日アーカイブ。 2021年3月7日閲覧。
- ^ a b「APT10 (MenuPass Group): 新たなツール、世界的な攻撃キャンペーンは長年の脅威の最新の兆候 « APT10 (MenuPass Group): 新たなツール、世界的な攻撃キャンペーンは長年の脅威の最新の兆候」FireEye . 2017年4月6日.オリジナルより2021年4月28日時点のアーカイブ。 2019年6月30日閲覧。
- ^ a b「Operation Cloud Hopper: What You Need to Know - Security News - Trend Micro USA」 trendmicro.com 2017年4月10日。2019年6月30日時点のオリジナルよりアーカイブ。 2019年6月30日閲覧。
- ^ 「中国のハッカーが米海軍10万人以上のデータを盗んだとされる」 MITテクノロジーレビュー。2019年6月18日時点のオリジナルよりアーカイブ。 2019年6月30日閲覧。
- ^ 「米海軍水兵のデータが『正体不明の人物によってアクセスされた』」「 . bankinfosecurity.com . 2019年6月30日時点のオリジナルよりアーカイブ。2019年7月12日閲覧。
- ^マナンタン、マーク(2019年9月)「南シナ海紛争のサイバー空間的側面」第58号。ディプロマット誌。2016年2月17日時点のオリジナルよりアーカイブ。 2019年9月5日閲覧。
- ^ Lyngaas, Sean (2020年11月17日). 「シマンテック、日本企業に対する大規模なハッキングキャンペーンにAPT10を関与させる」 www.cyberscoop.com . Cyberscoop. 2020年11月18日時点のオリジナルよりアーカイブ。 2020年11月19日閲覧。
- ^ N. Das, Krishna (2021年3月1日). 「中国のハッキンググループRed Apollo(APT10)は、世界最大のワクチンメーカーであるBharat BiotechとSerum Institute of India(SII)のITインフラとサプライチェーンソフトウェアに欠陥と脆弱性を発見した」 .ロイター. 2021年5月3日時点のオリジナルよりアーカイブ。 2021年3月1日閲覧。
