I. 概要
II.カーン・クエスト2014軍事演習の「コンセプト開発会議」声明文書の分析
TCIRT が発見した、サイバー兵器を搭載した Microsoft Word 文書は、米国太平洋本部からの機密扱いのない公式文書のもので、"概念開発会議に関与する米陸軍、海兵隊、および国務省の各部門は、2014 年カーン・クエスト軍事演習に参加する" と記載されています。Concept Development Meeting Statement Message - 2014 Khan Quest Military Exercise Draft Document" と題されたこの文書は、CVE-2012-0158 の脆弱性を悪用し、悪意のあるプログラムをコンピュータシステムに仕込み、peaceful.linkpc.net、mongolia.regionfocus.com、および mseuplus.com.net、mongolia.regionfocus.com、mseupdate.strangled.net ドメインを経由して、コマンド・コントロール・システムに接続します。
同様に、「Vietnam Tiset County Academic Update」と題されたdoc文書でCVE-2012-0158の脆弱性を利用した攻撃が行われ、ドメインはKhan Questと同じ3つのドメインを指していました。この文書には、モンゴル国防省とベトナム軍の共同訓練に関する記述があります。このことから、モンゴル国防省の計画と演習を担当する部署が、さまざまなサイバー攻撃を受けていることがうかがえます。ホストへのインストールに成功すると、トロイの木馬は/2011/n325423.shtmlで外部へのGETリクエストを送信します:
トロイの木馬には、コマンド・コントロール・システム用の固定コード化された文字列も含まれています:
第三に、構造の複雑さ:
日本との関係
TCIRTの分析によると、これらの悪意のあるドメインに関連する登録情報や個人情報は、ハッキング活動に関連しているはずです。これらのドメインの登録に使用されたメールアドレスは以下の通りです。
V. APT1との連携
VI. まとめ
日本のハッキングキャンペーンの意図は、次の3点に集約されます:
1.日本は、「カーン・クエスト」のような軍事演習を通じて、米国が自国に対する武力抑止の「リング」を形成するのを傍観することはできません。
2.日本は、「第三の隣国」と徐々に緊密な関係を築きながら、モンゴルにおける利益を確保する必要があります。
3.日本の対モンゴル投資は莫大であり、日本はモンゴルの巨大な銅鉱山に依存しており、日本はモンゴルとのパートナーシップを確保する必要があります。
