Google、世界42カ国以上に侵入した中国の関与が疑われるスパイ活動を阻止

Googleは2月26日(米国時間)、「Disrupting the GRIDTIDE Global Cyber Espionage Campaign｜Google Cloud Blog」において、中国に関係があるとみられる脅威グループ「UNC2814」による世界的なスパイ活動を阻止したと発表した。

UNC2814による攻撃キャンペーンは数十か国の通信事業者および政府機関を標的として実行され、新しいバックドア「GRIDTIDE」が展開されたという。

Disrupting the GRIDTIDE Global Cyber Espionage Campaign｜Google Cloud Blog

キャンペーンの概要と感染経路

Google脅威インテリジェンスグループ(GTIG: Google Threat Intelligence Group)およびMandiantの調査により、2月18日までに全世界42カ国、合計53の組織に対する不正アクセスが確認された。さらに、20か国以上への感染の疑いも確認され、UNC2814は62か国以上に影響を与えた可能性がある。

被害を確認または疑われる地域 - 引用　Google

この攻撃の初期の侵害経路は特定されていない。ただし、UNC2814はWebサーバやエッジシステムを悪用して侵入してきた実績があると指摘されている。

今回GTIGは、CentOSサーバに侵入した事例を解説した。初期の侵害経路は不明だが、UNC2814はシステムに侵入すると何かしらの方法で特権昇格を行ったことが特定されている。

侵入後はサービスアカウントを使用し、SSH経由でネットワークを横方向に移動。環境寄生型(LOTL: Living Off The Land)の手法で偵察活動を行い、権限を昇格し、バックドア「GRIDTIDE」の永続性を確保した。

外部への接続にはSoftEther VPN Bridgeが使用された。通信データの分析には失敗したとみられ、機密データの流出は観察されていない。しかしながら、バックドアが展開された環境には次の情報が保存されており、これら個人情報を狙った可能性がある。

氏名
電話番号
生年月日
出生地
有権者ID番号(不正投票防止に使用される本人確認ID)
国民ID番号

中国が関与した通信事業者への侵入と聞くと、脅威グループ「Salt Typhoon」が引き起こした米国大手通信事業者への侵入事案が思い出される。標的に類似性があり、同組織の関与を疑いたくなるところだが、これについては戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)などが異なるとして、GTIGは否定的な意見を伝えている(参考：「メッセージアプリは「Signal」を使え、中国の攻撃を受けCISAが指南 | TECH+（テックプラス）」)。

バックドア「GRIDTIDE」の概要

新たに発見されたバックドア「GRIDTIDE」は、C言語で開発されたマルウェアで、次の機能を持つとされる。

ファイルのアップロード
ファイルのダウンロード
Googleスプレッドシートを高可用性C2プラットフォームとして使用
ユーザー名、エンドポイント名、OSの詳細、ローカルIPアドレス、現在の作業ディレクトリ、言語設定、ローカルタイムゾーンなどの環境データの収集およびGoogleスプレッドシートへの保存
環境データからエンドポイントのフィンガープリントを作成
任意のシェルコマンドの実行

悪意のあるトラフィックは正規のクラウドAPIのリクエスト内に隠蔽し、標準的なネットワーク検出器を回避可能とされる。またBase64エンコードを用いることで、Webフィルターリングも回避することが確認されている。

バックドア「GRIDTIDE」のコマンドの流れ - 引用：Google

UNC2814の活動を阻止

今回GTIGは顧客の安全を確保するために、Mandiantおよびパートナーと協力してUNC2814に対する妨害活動を実施した。具体的にはクラウドプロジェクトの強制終了による侵害環境へのアクセスを遮断、既知のインフラを特定して無効化、攻撃者のアカウントの無効化などが実施された。

この攻撃の被害地域(疑いを含む)に日本は含まれていない。しかしながら、活動基盤の再整備が予想されており、影響を受ける可能性のある組織は将来の攻撃に備えることが推奨される。Googleは本件調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびハンティングクエリーを公開しており、セキュリティ対策に活用することが望まれている。