中国政府系ハッカーが台湾の半導体産業から戦略的に情報を盗み出している証拠とは？

台湾のサイバーセキュリティ企業CyCraftが、台湾の半導体企業全体に対する過去数年間のハッキング攻撃についての研究結果を発表しています。同社は、一連の攻撃には中国政府系ハッキンググループ「Winnti(別名Barium、Axiom)」が関与しているとみています。

Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry | WIRED
https://www.wired.com/story/chinese-hackers-taiwan-semiconductor-industry-skeleton-key/

Chinese hackers have pillaged Taiwan’s semiconductor industry | Ars Technica
https://arstechnica.com/information-technology/2020/08/chinese-hackers-have-pillaged-taiwans-semiconductor-industry/

CyCraftは、コンピューターやネットワークに発生した問題についての原因解明や影響範囲の調査などを行う研究グループForum of Incident Response and Security Teamsと協力して、台湾の半導体企業に対する一連のハッキング攻撃について、自社の顧客などを対象に調査を行いました。研究チームによると、過去2年間で少なくとも7つの半導体企業がハッキング被害を受けており、何社かは「台湾のシリコンバレー」と呼ばれる新竹工業団地に本社を置く企業だったとのこと。

これら一連のハッキングについて、一部のケースで手口が共通していたことが判明しています。ハッカーはまずVPNを経由してGoogle Chromeの更新ファイルに偽装したマルウェアを目標に送り込みます。送り込むVPNを経由する方法についてはVPNの資格情報を何らかの方法で取得したのか、VPNサーバーの脆弱性を利用したのかは不明ですが、マルウェアをGoogle Chromeの更新ファイルに偽装する方法については侵入試験に用いられるツールである「Cobalt Strike」を利用したことが判明しています。偽装されたマルウェアは、GoogleないしはMicrosoftのクラウドサービスでホストされているC＆Cサーバーを使用するため、通信自体は異常として検出されにくいものだったとのこと。

続いて、ハッカーは送り込んだマルウェアを使って、暗号化ハッシュでパスワード保護されたデータベースを攻撃し、LANなどのネットワーク環境における利用者アカウントやコンピューターなどへのアクセス権限を一元的に管理する「ドメインコントローラー」に侵入。ハッキングツールであるDumpertとMimikatzのコードを組み合わせたカスタムプログラムを使って、ドメインコントローラーのメモリ内に存在する全てのユーザーに「新しいパスワード」を追加します。この新しいパスワードを使えば、全てのユーザーアカウントにログインすることが可能です。この手口は「スケルトンキー」と呼ばれています。

CyCraftは2020年4月に「台湾の半導体企業にスケルトンキーによるハッキングが仕掛けられている」という(PDFファイル)報告書を発表していましたが、2020年8月の発表では「一連のハッキングは中国政府系ハッカーの犯行」と推定できる状況証拠を複数提示しました。

研究チームは被害者のネットワークからデータを盗み出すハッカーグループを追跡し、犯行に使われた認証トークンを傍受し、この認証トークンを用いてハッカーグループがクラウドサーバー内に置いていた「ハッキングの手引き書」を入手。この手引き書を解析したところ、記載されていた文字が、台湾では使用されず中国本土で使用される「簡体字」だったとのこと。さらに、ハッカーグループは「996工作制」と呼ばれる「朝9時に出勤し、夜9時に退勤し、週6日働く」というスケジュールで活動しており、中国本土の祝日にはキッチリ休んでいたことも判明しました。

これらの状況証拠の中でも、最たるものがハッカーグループが使用していた「バックドアプログラム」の存在です。このバックドアプログラムは中国本土に拠点を置くハッカーグループ「Winnti」が使用していたものと共通でした。Winntiは少なくとも2012年から活動しており、CCleanerやASUS LiveUpdateなどのソフトウェアや、ビデオゲーム業界に大規模なトロイの木馬を仕込んだことでも知られています。近年では、香港の大学を標的にしていたことも判明しています。

Winnti Groupが香港の大学に仕掛けた新たな攻撃 | マルウェア情報局
https://eset-info.canon-its.jp/malware_info/trend/detail/200304.html

CyCraftは、「台湾やその他の国の諜報機関と協力することによって、同様の手法を駆使するハッカーグループが台湾の政府機関にも攻撃を仕掛けていたことが判明した」と述べています。今回の調査に長期に渡って取り組んだCyCraftのチャド・ダフィー氏は、中国は隣国に対して大規模なハッキングを仕掛けているが、とりわけ台湾の半導体企業が危険だと指摘。ICチップの回路図やソースコード、ソフトウェア開発キットなどが盗み出されることによって、「半導体が組み込まれたデバイスの脆弱性がリリース前に見つけられてしまう」という危険性を指摘しました。

ダフィー氏は盗み出された情報によって中国の半導体企業が利益を得ているという可能性に触れて、「一連の攻撃は台湾経済の一部を破壊し、長期的な存続可能性を脅かしている」と言及。中国政府系ハッカーが台湾の半導体業界に戦略的な攻撃を仕掛けていると語りました。