piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

事業者に発行したVPNアカウント盗用による台湾政府へのサイバー攻撃についてまとめてみた

2020年8月19日、台湾の法務部調査局は政府機関や関係者の複数のメールアカウントを対象にしたサイバー攻撃が中国により行われ、機密情報の窃取が試みられたと発表しました。ここでは関連する情報をまとめます。
www.mjib.gov.tw

政府に情報サービスを提供する事業者を狙う

  • 台湾法務部調査局は中国政府と関係があるとみられるハッカーグループを名指しし、台湾に対するサイバー攻撃が2018年頃より行われていたと発表。
  • 攻撃はデータ窃取が目的で、政府文書、データ等が流出した可能性があると担当者は見解を示した。
  • 証跡の消去が行われていることから具体的な被害の特定には至っていない。少なくとも2つの市政府、1つの国立大学を含む中央、地方の10の政府機関と国内4社のハイテク系企業が攻撃を受けていた。 6,000人超のメールアカウントも標的となっていた。
  • 政府機関向けにサービス提供を行う情報サービス事業者が主に狙われ、事業者向けに発行されたVPNアカウントの盗用が侵害の発端となっていた。

名指しされた4グループ

報道によれば、今回具体名が挙げられた中国に関係するサイバー攻撃グループは4つ。*1 *2

調査局担当者は4つのグループの動きを2つの攻撃ケースとして解説。

攻撃の手口① 保守用VPNアカウントを盗み攻撃

MustangPanda、APT40からは次の手口での攻撃が行われた。

f:id:piyokango:20200820155910p:plain
台湾当局の説明資料(iThome報道記事より引用)
  1. 中継ポイントを経由し、ハッカーグループが政府向けサービスを提供する情報サービス事業者に侵入
  2. 政府機関より情報サービス事業者宛にリモートでの運用、保守目的で払い出されたVPNアカウントを盗用
  3. VPNを通じ政府機関のネットワークを侵入し、管理アカウント取得の機会を狙い水平での展開作業を実行
  4. 政府機関内部のホスト、サーバーに侵入後はVPNソフトを密かにインストール
  5. ADサーバーにログイン、管理権限を持つアカウントを作成し侵入痕跡を抹消
  • SoftEtherのVPNソフトが悪用されていたと発表している。
  • また攻撃インフラには特定部門の情報サービス事業者が運用する5台のメールサーバーも悪用されており、WebShellが埋め込まれていた。
  • この攻撃により6,000を超えるメールアカウントが攻撃者により侵害された可能性がある。
攻撃の手口② 市販ルーターをのっとり攻撃

Blacktech、Taidoorからは次の手口の攻撃が行われた。

f:id:piyokango:20200820160028p:plain
台湾当局の説明資料 その2 (iThome報道記事より引用)
  1. 政府機関と取引のある情報サービス事業者へ侵入
  2. ADサーバーを侵害し、グループポリシーを使用してマルウエアを配布
  • マルウェアWaterbearの存在が侵害されたサーバーから確認された。このマルウエアはBlacktechと関係があるとされ、情報を外部へVPN経由で送信する。
  • 攻撃インフラの一部に家庭向けの無線ルーターが使われていた。ファームウェア更新を怠っている、または既定設定のまま運用されているルーターを攻撃対象とし、既知の脆弱性が悪用されたとみられる。
  • 中国の中継局への接続にのっとった無線ルーターを経由するようVPN接続を設定。ハッキング被害に遭った無線ルーターからは11個の不正通信先が確認されている。
  • 攻撃は今年3月、4月にかけ3つの公的機関で確認された。さらに不正通信先へ接続した国内の組織は複数存在。少なくとも自治体、水資源局、国立大学などの6つの公的機関、4つの情報サービス事業者が含まれており、これら組織も被害を受けているだろうと担当者はコメント。

VPNの必要性再検討を提案

一連の事案を受け、調査局は次の提案を行っている。

  • 情報サービス事業者によるリモート管理の必要性再検討(政府機関から事業者にリモート運用・保守用のVPNアカウントの提供が行われている)
  • ADサーバーのソフトウェア配信状況の監視、異常なアカウント追加やサインインの確認、VPNの異常なログインの有無など、セキュリティ運用の見直し

インディケーター情報

台湾当局が資料等を通じ発表した不正通信先は以下の通り。

MustangPanda、APT40の攻撃で確認されたIPアドレス

43[.]240[.]12[.]81
45[.]124[.]25[.]31
45[.]123[.]25[.]226
103[.]193[.]149[.]26
103[.]240[.]202[.]34

Blackteck、Taidoorの攻撃で無線ルーターから確認されたドメイン名

manage.lutengtw[.]com
dccpulic.lutengtw[.]com
trust.utoggsv[.]com
wg1.inkeslive[.]com
k3ad01.rutentw[.]com
ams05.cksogo[.]com
edgekey.whybbot[.]com
shed.inkeslive[.]com
ap21.gckerda[.]com
cornerth[.]com
teamcorner.nctu[.]me

更新履歴

  • 2020年8月20日 PM 新規作成
  • 2020年8月21日 AM インディケーター情報のIPアドレスに誤りがあったため訂正。

*1:法務部調査局の広報発表では2つのみ掲載、担当者が発表した資料では4つのグループが取り上げられている

*2:調查局首度揭露國內政府委外廠商成資安破口的現況,近期至少10個公家單位與4家資訊服務供應商遇害,iThome,2020年8月19日