_Thisレポートでは、中国に関連する脅威活動グループであるRedEchoがインドの電力セクターを標的に実施したキャンペーンについて詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 データソースには、Recorded Future Platform、SecurityTrails、Spur、Farsight、および一般的なオープンソースのツールと手法が含まれます。 この報告書は、サイバースペースにおけるインドと中国の活動に関連する戦略的および運用上の情報に携わる個人にとって最も興味深いものとなるでしょう。

Recorded Futureは、侵入の疑いが公表される前に、影響を受けたorganizations._内のインシデント対応と修復調査を支援するために、適切なインド政府部門に通知しました

Executive Summary

インドと中国の関係は、2020年5月に国境衝突が発生し、世界で最も人口の多い2カ国の間で45年ぶ りの戦闘死者 が発生したことを受けて、大幅に悪化した。その結果、2021年1月12日、インドのスブラマニヤム・ジャイシャンカール外相は、インドと中国の間の信頼関係が「深刻に乱れている」と 発表 した。外交と経済的要因は、最近では国境での 二国間離脱 など、本格的な戦争を防ぐのに効果的でしたが、サイバー作戦は、潜在的に破壊的な理由でスパイ活動やネットワーク内での事前配置を行う強力な非対称能力を各国に提供し続けています。

2020年初頭以降、Recorded FutureのInsikt Groupは、中国の国家支援グループによるインドの組織に対する標的型侵入の疑いのある活動が大幅に増加していることを確認しました。 2020年半ば以降、Recorded Futureの中間コレクションでは、ShadowPadのコマンド&コントロール(C2)サーバーを包含するAXIOMATICASYMPTOTEとして追跡されるインフラストラクチャの使用が急増し、インドの電力セクターの大部分をターゲットにしていることが明らかになりました。電力需要と供給のバランスを取りながら電力網の運用を担当する5つの地域負荷発送センター(RLDC)のうち4つを含む、10の異なるインドの電力セクター組織が、インドの重要インフラに対する協調キャンペーンのターゲットとして特定されました。 特定された他の標的には、2つのインドの港が含まれていました。

プロアクティブな攻撃者、犯罪組織 infrastructure 検知、ドメイン分析、および Recorded Future ネットワーク トラフィック分析を組み合わせて、これらの AXIOMATICASYMPTOTE サーバーのサブセットが、 APT41 や Tonto Team など、以前に報告されたいくつかの中国国家支援グループといくつかの共通のインフラストラクチャ手口、戦術、技術、手順 (TTP) を共有していることを確認しました。

以前のグループと重複する部分もあるものの、Insikt Groupは現在のところ、この特定のキャンペーンでの活動を既存の公開グループにしっかりと帰属させる十分な証拠があるとは考えていないため、密接に関連しているが別個の活動グループであるRedEchoとして追跡を続けています。

主な判断

• インドの重要インフラを標的にすることは、限られた経済スパイの機会を提供する。しかし、中国の戦略的目標を支援するためのネットワークアクセスの事前配置の可能性について、大きな懸念を提起していると評価しています。
• エネルギー資産への事前配置は、二国間の緊張が高まっている間の地政学的戦略的なシグナル伝達、影響工作の支援、またはキネティックエスカレーションの前兆として、いくつかの潜在的な結果をサポートする可能性があります。
• RedEchoは強力なインフラストラクチャを備えており、被害者学は中国のグループAPT41/BariumおよびTonto Teamと重複していますが、ShadowPadは少なくとも5つの異なる中国のグループによって使用されています。
• RedEchoが使用するAXIOMATICASYMPTOTEサーバーの異なるサブセットと数か月にわたって通信しているインドの重要インフラエンティティに解決されるIPが集中していることは、ターゲットを絞ったキャンペーンを示しており、Recorded Futureのネットワークテレメトリーでは、より広範なターゲットの証拠はほとんどありません。

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。