中国政府請負業者「i-SOON」のデータ流出:経緯と概要、関連する脅威アクター
(情報源:Marco Ramilli、BushidoToken)
2月16日に突如何者かによってリークされた、中国政府のIT関連請負事業者i-Soon(安洵/Anxun Information Technology)のものとされる大量の内部資料。研究者やセキュリティ企業による分析・検証が進む中、中国によるサイバースパイ活動の片鱗と思しきものやAPTグループとの繋がり等に関する手がかりも徐々に浮かび上がってきているという。ホワイトハットハッカーで国際的なサイバーセキュリティ研究者のMarco Ramilli氏が、今回のリークの要点をまとめている。
i-Soonリーク:経緯と概要
大まかな経緯
- 2024年2月15日、何者かが「I-SOON@proton.me」というEメールアドレスを登録。
- 2月16日、上記アドレスを用いてアカウント登録した人物が、GitHub上にi-Soon社の情報を大量にアップロード(およそ170MB)。※現在このリポジトリへのアクセスはGitHubにより無効化されているが、本記事執筆時点で、英語に訳されたバージョンへはアクセス可能。
- 2月19日、台湾を拠点とする脅威インテリジェンス研究者の「@AzakaSekai_」がX(旧Twitter)に「誰かがGitHubに中国政府の内部文書を大量にリークした」と投稿、このポストが大きな注目を集めることに。
#threatintel
someone just leaked a bunch of internal Chinese government documents on GitHubhttps://t.co/BO8N64A7kF— 安坂星海 Azaka 🐼 VTuber (@AzakaSekai_) February 18, 2024
中国公安部の内部文書を何者かが大量にGitHub上でリークしたという。引用元の投稿によればこれは"NTC Vulkan文書レベルのリーク"で、情報の出所は請負業者のiSoon(安洵)とされる。リークにはスパイウェア、スパイオペレーション、「Twitter監視プラットフォーム」などに関する情報が含まれるとのこと https://t.co/SKggR94cS3
— Machina Record (@MachinaRecord) February 19, 2024
- 以後、研究者やセキュリティ企業などが同リークに関するブログ記事や検証記事を公開し始める。例:SentinelLabs “Unmasking I-Soon | The Leak That Revealed China’s Cyber Operations”、Unit42 ”Data From Chinese Security Services Company i-Soon Linked to Previous Chinese APT Campaigns”、BushidoToken ”Lessons from the iSOON Leaks”
リークデータの主な内容
リークされたファイルの中には、以下のようなツールやプロダクトに関する情報と思われるものが含まれていたという。
- 各種OS(Windows、macOS、Linux、iOS、Android)向けのカスタムマルウェア
- Eメールデータの収集・分析用に設計されたプラットフォーム
- Outlookアカウントをハッキングするためのツール
- Twitter上のアクティビティをモニタリングするためのプラットフォーム
- OSINTデータを活用する偵察用プラットフォーム
- オンプレミスのハッキング(Wi-Fiネットワークへの攻撃含む)に使うことを意図した物理的なハードウェアデバイス
- Torに似たネットワークを用いる通信設備(国際的に活動するエージェントの通信を保護しやすくするためのもの)
また、リークデータにはスパイ活動の標的リスト(①、②)と思われるものも含まれており、パキスタン、インド、マレーシア、トルコ、エジプト、フランス、カンボジア、インドネシア、ベトナム、ミャンマー、フィリピン、アフガニスタンといった国々の政府が狙われていたことが示唆されている。加えて、NATO、台湾や香港の大学、香港の民主派運動なども標的に含まれていた模様。
i-Soonリークは複数の脅威アクターとの繋がりも示唆
研究者Bushidotokens氏によれば、リークされたデータから、既知の脅威アクター数組との重複や繋がりがいくつか浮かび上がってきているという。
- 脅威グループ「POISON CARP」との繋がり:リークデータに登場するIPアドレス(74.120.172[.]10)から繋がりが示唆されている。このアドレスはフィッシングサイト「mailnotes[.]online」をホストするもので、同サイトは、2019年にCitizenLabが公開した、チベット人団体へのモバイルエクスプロイト攻撃に関するレポートに登場している。チベット組織を狙うキャンペーンは、i-SOONのサポートのもと実施される中国政府のオペレーションと合致するという。
- APTグループ「JACKPOT PANDA」との繋がり:リークデータに登場するIPアドレス(8.218.67[.]52)から繋がりが示唆されている。このアドレスは、トレンドマイクロが2022年に公開した、サプライチェーン攻撃で用いられるチャットアプリケーションに関するレポートに登場している。同レポートの内容は、i-SOONがオンラインギャンブル業界を重点的に狙っているという事実に合致しているという。
- APTグループ「Elemental Taurus(APT41)」との繋がり:リークされた文書の中には、i-Soonがマルウェアコントローラーソフトウェア「Treadstone」を販売していたことが伺える情報が含まれる。TreadstoneにAPT41が関与していることについては、2019年の米国大陪審による起訴状の中で明かされている。なおこの起訴状は、同じくi-Soonとの関連が指摘される別の商業スパイ企業Chengdu 404の従業員3名に対するものだった。