中国と関連していると推測されるハッカー集団が10年以上にわたり、世界中の2,000台の感染システムを密かに制御していたことが判明し、衝撃が広がっている。このうち韓国でも感染システムが400台以上に上ることが明らかになった。
今月27日、AhnLabと韓国・国家サイバーセキュリティセンター(NCSC)は、中国と関連があると推測されるAPT(高度標的型攻撃)グループ「TA-ShadowCricket」によるサイバー攻撃活動を共同で追跡・分析した結果、このような事実が確認されたと発表した。
今回の結果をまとめた報告書には、AhnLabと韓国・国家サイバーセキュリティセンターが2023年から最近まで「TA-ShadowCricket」の活動を共同で追跡した内容が記載されている。
報告書によると、「TA-ShadowCricket」は2012年頃から活動を開始したと推測される。中国との関連性があると疑われているが、国家支援の有無は不明な高度標的型攻撃グループだ。これまで関連情報がほとんどなく、セキュリティ業界でも比較的注目されていなかった組織である。
追跡の結果、「TA-ShadowCricket」は外部に公開されているWindowsサーバーのリモートデスクトッププロトコル(RDP)機能やデータベース接続(MS-SQL)を標的にしてシステムに侵入し、世界中の2,000台以上の感染システムを密かに制御していたことが判明した。
リモートデスクトッププロトコルは他のコンピューターにリモートで接続できるWindowsの機能だ。MS-SQLはマイクロソフトが提供するデータベース管理システムである。
AhnLabと韓国・国家サイバーセキュリティセンターは、世界72カ国・2,000台以上の被害IPを確認した。韓国では457台の被害が確認された。韓国以外のIP基準の国別分布は、中国895台、インド98台、ベトナム94台、台湾44台、ドイツ38台、インドネシア37台、タイ31台、アメリカ25台など、計72カ国に及ぶ。これらの国の機器を対象にIRCベースのボットネットを構築した形跡が確認された。
2020年7月から2025年2月までリモートデスクトッププロトコルで接続してシステムを制御しており、その一部は中国所在のIPからの接続であることが確認された。
そして、TA-ShadowCricketグループがシステム侵害後に使用したマルウェアとツールは、大きく3段階に分類された。
第1段階はマルウェアのダウンロードとインストールのプロセスで、ダウンローダーやコマンド実行ツールが使用される。第2段階は主にバックドア類のインストール、第3段階は追加の悪意ある活動のためのマルウェアインストールに分けられると分析された。
今回の分析を主導したAhnLabのASEC A-FIRSTチームのイ・ミョンス チーム長は「この攻撃グループは数千台の被害システムとC&Cサーバー(攻撃者がマルウェアを遠隔操作するために使用するサーバー)を13年以上運用しながらも静かに活動を続けてきた稀なケースだ」と述べ、「このように長期間にわたり制御されている感染システムは攻撃者の意図次第でいつでも実際の攻撃に利用される可能性があるため、マルウェアの除去やC&Cサーバーの無力化など、先制的な対応が何よりも重要だ」と強調した。
このほか、報告書にはハッカーが使用した悪性プログラムの種類、感染方法、被害範囲など具体的な情報が含まれている。