I-SOON 中国政府へRATを提供していた企業から内部リーク
中国の安洵信息技术有限公司(I-SOON)が中国政府向けにRATやサイバー攻撃ツールを提供し、
インド、タイ、ベトナム、韓国、NATOなどの政府機関へ潜入したとする内部からの漏洩(リーク)が発生しました。
2024年5月12日に、新聞でも中国企業が「世論工作システム」として取り上げられました。
パロアルトネットワークスのセキュリティチームUnit42はこの流出は本物である可能性が高い としています。
関連記事:中国は生成AIで作成したコンテンツをSNSで利用し、米国で世論工作を実施
目次
何者かによるリークが発生
・1月15日午後10時19分、秘匿性の高いメール暗号化サービス「proton」で I-SOON@proton.meを登録
・1 か月後の 2 月 16 日、そのメールで登録されたアカウントが GitHub へコンテンツのアップロードを開始。
現在はGitHubのポリシーに違反されたとして情報は削除されています。
引用:https://www.malwarebytes.com/blog/news/2024/02/a-first-analysis-of-the-i-soon-data-leak
また、初回の拡散はおそらく台湾出身の脅威インテリジェンスリサーチャーのAzakaSekai_氏だと思われます。
開発提供しているサイバー攻撃ツールの概要
このリーク情報の中には、同社が提供しているかもしれないサイバー攻撃ツールの資料があります。
旧ツイッターハッキングツール
DMでURLのリンクを踏ませると、そのツイッターアカウントを乗っ取り
端末のIPアドレスや端末情報の収集も行える。
乗っ取った幽霊アカウントやターゲットのアカウントを利用し、世論工作を行っているとしています。
中国はこういった乗っ取ったアカウントで、生成AIで作成したコンテンツをSNSで利用し米国で世論工作を実施している事も暴露されています。
IOSの全バージョンを遠隔操作できるプログラム
IOSは基本的にジェイルブレイクしないと、AppStoreからソフトをインストールできません。
しかしリーク情報ではジェイルブレイク不要でIOSを遠隔操作できるプログラムを提供しており、
対象端末のGPSや録音データも取得可能だ という情報があります。
モバイルバッテリーに偽装したWifiハッキングツール
特定メーカーのモバイルバッテリーに偽装したWifiハッキングツールの提供
様々な機器をサポートする侵入支援システム
Windows、Linux、Webサービス、ネットワーク機器をサポートする侵入支援システム
Wifi妨害・検知システム
WiFi デバイスを追跡し、WiFi 信号を妨害するための特殊なハードウェアの提供。
また、専用のスマートフォンで制御可能。
攻撃対象の組織
ベトナム交通局やNATO関係者への攻撃も示唆されていますが、それ以外にも以下組織への攻撃関与が疑われています。
・ミャンマー外務省
・国立台湾大学病院
・台湾の淡江大学
・タイ国家情報局
・タイ外務省
・ルワンダ保健省
・インド アポロ病院
・パキスタン パンジャブ反テロセンター(Punjab Anti-Terrorism Center)
・カザフスタン Tele2 コミュニケーションズ、
・モンゴルスカイテル コミュニケーションズ
・モンゴル公安省
・ネパールテレコム
・香港中文大学
・香港水燕大学
・香港東華大学
・パリ政治研究所
引用:https://blog.bushidotoken.net/2024/02/lessons-from-isoon-leaks.html
内部の会話
ターゲット別の支払い目安は?
ベトナム経済部 40万
ベトナム内務省 35万
ベトナム統計局 35万
ハイ・ボス
どうした?
麻雀 🀄️
オフィスで?
オフィスで麻雀を打つとお金がもらえるか?ボス、李部長が何千元も掃除しています。
この会話は下請けのサイバー攻撃を実行する人間の報酬の少なさを表しているのではないでしょうか?
関連記事
Hugging Faceでバックドア付きAIの機械学習モデルを確認
中国系 APT (Advanced Persistent Threat 持続的標的型攻撃)グループとの繋がり
パロアルトネットワークスのセキュリティチームUnit42のレポートでは
中国系 APT (Advanced Persistent Threat 持続的標的型攻撃) グループによる2022年のサプライチェーン攻撃で利用された、s3amazonbucket[.]com というドメインはC&Cサーバーとして利用され
s3amazonbucket[.]com はI-Soonの制御下にあるドメインである可能性が高く、I-SOONも2022年の攻撃に関与している可能性があると中程度の評価を行なっています。
既に当該Gitのリポジトリは削除されていますが、ニューヨークタイムズも報道をおこなっており、今後の続報があり次第追加していきます。
関連記事
iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見|顔認証データやSMSも傍受