Cybereasonは5月4日(米国時間)、「Operation CuckooBees: Cybereason Uncovers Massive Chinese Intellectual Property Theft Operation」において、中国が支援する持続的標的型攻撃(APT: Advanced Persistent Threat)グループが、北米、ヨーロッパ、アジアのテクノロジー企業や製造業を標的としたサイバー諜報キャンペーンを展開していることを発見したと伝えた。この犯罪グループは少なくとも2019年から検知されることなく偵察活動を続けており、数百ギガバイトに及ぶ機密データや知的財産データを窃取したと指摘されている。
Cybereasonの研究者らはこの偵察および諜報活動の主体について、「Winnti」と呼ばれる中国から支援を得ている持続的標的型攻撃グループによるものと分析している。Winntiは「APT 41」「BARIUM」「Blackfly」としても知られており、中国政府の支援を受けているほか、高いステルス性と洗練度を持っているグループと考えられている。Winntiは現存する犯罪グループの中で多くの成功を収めている集団の一つであるとともに、中国の国家利益のために活動する勤勉なグループの一つとされている。
今回の長期にわたる偵察および諜報活動において、Winntiはデジタル署名されたカーネルレベルのルートキットを含む既存のマルウェア技術と、これまでに文書化されていないマルウェアの両方を使って攻撃を仕掛けている。この攻撃には多段階の感染チェーンが使われており、長期にわたって検出されることなく活動ができるように精巧かつ巧妙な方法が使われているとのことだ。
Winntiはこうした技術を用いて、少なくとも2019年には北米、ヨーロッパ、アジアのテクノロジー企業や製造業に侵入。検出されることなく偵察と諜報活動を続け、この数年間で機密文書、設計図、図表、製造関連の専有データ、知的財産データなどを窃取したと推定されている。そのデータ総数は数百ギガバイトに上るとみられている。
またWinntiは、対象企業事業部門の詳細情報、ネットワークアーキテクチャ、ユーザーアカウントと認証データ、従業員の電子メールアドレス、顧客データなどの情報を収集しており、将来のサイバー攻撃に利用するデータとしてナレッジの蓄積を行ったとも分析されている。Cybereasonはこの中国支援によって行われた大規模な知的財産権窃取作戦を「Operation CuckooBees」(カッコー・ビーズ作戦)と呼んでいる。
機密情報や知的財産データをギガバイト単位で失うことは、収益に大きな打撃を与えるとともに、市場における競争上の優位性を失うことになる。Cybereasonは、中国および中国の利益と関連のある団体は頻繁にこうした知的財産データの窃取を行っていると分析している。こうした活動は今後も継続することが予測されており注意が必要。