これは米国のセキュリティ会社マンディエント(Mandiant)が中国のハッカーの攻撃・侵入セッションを海の反対側から記録したものです。
米サイバー攻撃の出元が中国人民軍総参謀部第三部61398部隊のビルと同じだったというエントリでも貼り付けましたが、訳をつけてみました。
攻撃主は「Advanced Persistent Threat(APT、高度かつ執拗な攻撃、高度・長期的攻撃)」を行なっている、あるグループ。俗に言う「Comment Crew(コメント組)」、「Shanghai Group(上海グループ)」、Mandiant社内では「APT1」と呼ばれているグループの人です。
【動画訳】
マンディエントの特別プレゼンテーションにようこそ。ここでご覧にいれるのは「APT1」(中国の攻撃主)がコンピュータスパイ活動を行なっているライブセッションの映像です。様々なアクションを駆使して実在の犠牲者に攻撃を仕掛けている様子がわかります。
メールアカウント設定 0:20-
これはAPT1の攻撃主Do Das(?)が活動用のアカウントを作ってるシーンです。登録時に使っているのは米国のIPアドレス。居住国もデフォで米国を選んでます。
ところがグーグルから認証用の電話番号を訊かれると...国を中国に変更して、159-2193-7729と入れてます。2193はチャイナ・モバイルが上海に割り当てる番号です。
間髪いれず認証コードを入力するDo Dasさん。つまり今手許に携帯があるということになります。
受信箱。スピアフィッシングメール未開封通知も 0:58-
ログインするDo Dasさん。受信箱にはアカウント登録確認メールが山ほどあります。他にも沢山作ったんでしょう。あとはバウンスしたメール、未達メール、スピアフィッシングメールの未開封通知。大体はフィリピンの軍事活動に探りを入れるメールです。
不審なログインであることを警告するメッセージが出ました。「IPアドレス58.247.245.236からログインしてます」とあります。これは前にもAPT1工作員がログインに使ったことのあるアドレスです。
送信済みトレイを開くDo Dasさん。「mai_qiang_82(?)」という人に何度もメールを送ってます。これは我々が超危険人物としてマークしている人物です。
Gh0st RAT C2サーバーをテスト 1:46-
こちらはAPT1攻撃主がホットポイントに(リモートアドミンツールの)Gh0st RATコマンドコントロールサーバーをインストールして動作をテストしてるところです。
Gh0st RATのバックドアを上海にある自分のシステムにインストールしてますね。システムのホストネームはHPTrojanTool、上海のIPアドレス58.247.238.57からGh0st RATサーバーにチェックインしてます。
バックドアのC2サーバーが沢山あって、そこから犠牲者のシステムをGUI画面で操作できているのがわかります。Gh0st RATはその1例。
システムのドライブをリスティングしてコマンド?を始め、テスト用システムでGh0st RATのバックドアがちゃんと操作できるか試してますね。バックドアはシステムからアンインストールすることも可能です。
WEBC2-HEAD C2サーバーを使う 2:34-
これはAPT1攻撃主がWEBC2ヘッドコマンド・コントロールサーバーを使ってるところです。Gh0st RATのインターフェイスはグラフィカルでしたが、こちらはコマンドライン。APT1攻撃主はLコマンドを入力し、窓に入ってくる犠牲者のバックドアの接続具合を確認しています。
やがて2人の犠牲者がチェックイン。うち1人のバックドアにコマンドを送ろうとしますが...うまくいきません。何度も試みて失敗、これを1時間繰り返すんですが、そちらの映像は割愛しておきます。
HTRANを使う 3:08-
こちらはAPT1攻撃主がHTRANを使っているところ。これは自分が今いる上海のIPアドレスと犠牲者のIPアドレスとの間での操作を可能にするツールです。
盗んだログイン情報がExchangeで動くか確認 3:19-
ここではAPT1攻撃主が盗んだログイン情報がマイクロソフトExchangeのサーバーで使えるか確かめているところです。盗んだユーザー名とパスワードで無事入れました。メール箱の中を見てますね。
メール番号と容量だけ並んでて、ずーっとスクロールしていってます。
上海FTPサーバーコンテンツ 3:39-
これはAPT1攻撃主がFTPセッションを設営しているところです。58.247.26.20で。IPアドレスはAPT1の拠点のひとつ、上海圏内です。
APT1攻撃主は上海のシステムから***(?)システムにツールを転送するのにFTPをよく使うんですね。APT1攻撃主はFTPサーバーに行って「EXPO***.exe.」というツールを入手してますね。ついでに他のも見てます。フィッシングで入手したファイルには、「socialsecurityreform.pdf(社会保障制度改革)」などあります。
LIGHTBOLTでファイルを盗む 4:26-
さて、こちらはAPT1攻撃主がLIGHTBOLTを使ってファイルを盗んでいるシーン。LIGHTBOLTツールを使うと、APT1攻撃主も盗んだ認証情報を使ってウェブに出ていないページにアクセスが可能になります。
盗んだファイルは上海のFTPサーバーにアンロード 4:38-
こちらはAPT1攻撃主がRAWアーカイブを上海のシステムにFTPでアップロードしてる場面です。LIGHTBOLTツールでは盗んだウェブファイルをRAWアーカイブに保存するんですね。詳しくはMandiantへ。
---
...とまあ、ざっとこんな調子で2006年から141回不正侵入を繰り返し延べ数百テラバイトにおよぶ機密データを転送しまくってた模様ですよ。米国だけかと思ったら141件の被害には日本も入ってるではないの!!!
わずか1件ですが...(あんま重視されてないのね...)
ベルト締め直さなきゃ...
[Mandiant via Washington Post , Digg]
satomi(Mario Aguilar/米版)