ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた

APT focus: ‘Noisy’ Russian hacking crews are among the world’s most sophisticated

2021/09/22 DailySwig — 国家に支援されるロシアのサイバースパイ集団は、国々への脅威の中で最も洗練された存在であり、その上、最も狡猾な敵となるような欺瞞の才能を備えている。The Daily Swig が取材した専門家によると、ロシアのサイバー脅威アクターは、中国と肩を並べる世界最高レベルの存在であり、また、西側の情報機関および、連邦保安局 (FSB : Federal Security Service)、そして米軍と関係を持つ機関などに、比肩する能力を持っているようだ。

ロシアの脅威アクターたちの技術や戦術とは?

ロシアの国策機関は、他のグループと比較して、より洗練された戦術/技術/手順 (TTPs : tactics, techniques, and procedures) を持ち、また、独自のマルウェア開発能力や、厳格な運用セキュリティを備えている。

Digital Shadows の Senior Cyber Threat Intelligence Analyst である Xueyin Peh は、「ロシアに関連する APT グループは、間違いなく最も技術的に進んだ国家支援型の脅威グループだ。彼らは、SolaWinds Orion Platform を活用したサプライチェーン攻撃 (2020年春〜2020年12月に始まった) のように、長期間に渡って発見されないための技術を使っている」と、The Daily Swig に述べている。

彼は、「一連の大規模な侵入を行い、また、活動を難読化させる複数の技術は、こうしたグループの中で最高の技術力を証明している。それに比べて、他の国家支援 APT グループで、同規模のサプライチェーン攻撃を行えるのは、おそらく、中国に関連するグループだけだろう」と付け加えている。

脅威情報の専門家によると、ロシアのサイバー・スパイによる脅威として注目を集めた SolarWinds のキャンペーンは、技術のサプライチェーンを利用した点で、ロシアの脅威アクターとしては異例のことだったとされる。

IntSights の head of threat intelligence advisory である Paul Prudhomme は、「ロシアのサイバースパイ集団は、歴史的に見て、このような攻撃ベクターを大規模に利用したことはなかった。確かに、テクノロジーのサプライチェーンを狙った攻撃は、中国に見られるパターンである。今回、新しい手法を採用したのは、他の脅威アクターのやり方を、真似しようという意思の表れかもしれない」と述べている。

情報セキュリティ企業 Dark Intelligence CEO である Vince Warrington は、「中国の国家支援ハッカーによる攻撃は、長期的な情報収集を目的としているため、ゆっくりとした動きで整然としており、数日や数ヶ月ではなく、数年単位で組織に侵入し、長期的にデータを抽出することを目的とする傾向にある。その一方で、ロシアのアプローチは、より短期的な焦点を当てており、今すぐにデータを収集して利用することを重視している。そのため、彼らの戦術は中国と比較して、騒々しいという傾向がある」と述べている。

中国が、システム内の幽霊になりたがっているのに対し、ロシアの国家支援グループは、自分たちの痕跡を残す傾向がある。Radware の Head of Security Researchat である Daniel Smith は、「ロシアの国家に支援された脅威アクターたちは、地政学的な手段としてサイバー戦術を利用する傾向がある。対照的に、中国に支援された脅威アクターの目的は、データ収集とグローバルな監視に沿ったものである」と述べている。

ロシアのサイバー脅威グループの進化の度合いは?

Venafi の Threat Intelligence Specialist である Yana Blachman は、The Daily Swigに対し、「ロシアの国家支援型 APT グループ は、高度に洗練された TTP を利用して、偽情報流布/プロパガンダ/スパイ活動/破壊的サイバー攻撃などを、世界規模で行っている。他の脅威グループは、コードの再利用/OS コードの使用/ツールの購入などを行うが、ロシアの APT グループは、ターゲットごとにカスタマイズされたアプローチをとり、キャンペーンことに独自のツールを使用することで知られている。彼らは、新しいツールを開発する一方で、古いツールの再開発を続けており、その TTP は運用上のセキュリティと防御の回避を優先しているため、活動を検知することは極めて困難だ」と述べている。

ロシアのサイバー犯罪組織は、長年にわたってサイバー脅威の状況を支配してきた。イスラエル国防軍の Unit 8200 の元士官である Blachman は、「これらのグループは、高度に洗練されたツールセットを開発するだけではなく、活動を収益化する手段を開発しており、伝統的な犯罪組織のように役割とプロセスを定義している。彼らはランサムウェアを好むことで知られているが、最近では Ransomware as a Service と Malware as a Service を利用する者も多く、サイバー犯罪に関与しようとする者のハードルは低くなっている」と述べている。

また、ロシアに関連する脅威グループは、捜査機関を混乱させるために偽装工作も行う。代表的な例としては、2015年のフランスのテレビネットワーク TV5Monde の破壊や、2018年の Olympic Destroyer キャンペーンなどが挙げられる。後者のマルウェアは、韓国の平昌で開催された冬季オリンピック開会式を狙ったものだった。また、ロシアに関連する APT グループは、他の国家に関連する APT グループが使用するシステムをハイジャックしている。2017年には、ロシア関連の APT グループ Turla が、イラン関連の APT34 (OilRig) のサーバーインフラを侵害していたことが判明した。

Turla は、このアクセスを利用して、すでに APT34 のマルウェアに感染していたコンピュータに対して、独自のマルウェアを展開したと言われている。Digital Shadows の Peh は、「スパイがスパイをハッキングするという事例は珍しいが、それは、おそらく、発見された場合に、足跡が残る可能性が高いからだろう」と述べている。

ロシアの脅威アクターはどのように組織されているのか?

ロシアには多様なサイバースパイ・グループがあり、それらの関係は、はっきりしていない。IntSights の Prudhomme は、「中国やイランのカウンターパートとは対照的に、彼らが Digital Quartermasters を介して、マルウェア開発やインフラ・リソースの広範な共有を行っているという明確な証拠はない」と述べている。

ロシア軍の情報機関である GRU および、民間の対外情報機関である SVR、そして、国内情報機関である FSB といった組織は、さまざまなサイバー・スパイ活動を行っている。米国は、ロシア参謀本部主要情報局 (GRU) のメンバーとされる 12人を、APT28 (Fancy Bear) に関連する活動で起訴したが、APT29 (Cozy Bear) に関しては、ロシア対外情報庁 (SVR) の管轄下で活動している可能性が高いと考えられている。

Prudhomme は、「SolarWinds キャンペーンにおける、高度なステルス性と運用上のセキュリティは、できるだけ多くの情報を収集するために、発見されずに長期間にわたるアクセスを維持することを最優先する、民間の対外情報機関の手法と一致している。それとは対照的に、GRU の権限の下で活動していると考えられる APT28 は、はるかに騒々しい攻撃を行うことがある。これは必ずしも運用上のセキュリティが不足しているからではなく、彼らの目標である破壊的な性質のために、攻撃の発見が避けられないからだ」と述べている。

たとえば、Sandworm (GRU) は、2017年にウクライナで話題になった、NotPetya ランサムウェア攻撃を担当したとされているが、この攻撃は、ロシアの外交政策を支援するために、ウクライナ経済を混乱させることを目的としていた。この攻撃では、ウクライナで事業を展開する海運大手の Maersk などの多国籍企業に、甚大な巻き添え被害が生じた。

米国の大統領選挙に影響を与える試みとして APT28 と APT29 は、民主党全国委員会 (DNC) が使用しているネットワークに侵入したとされている。そこで盗まれたデータは、その後の深刻な情報漏えいのために使用された。Digital Shadows の Peh は、「ロシアと連携して米国の政府機関を標的にした事例は、それが初めてのことではない。DNC 侵害に先立ち、APT29 は 2015年8月にも、国防総省の電子メールシステムに対して、政府機関を対象としたスピアフィッシング攻撃を行っている。同様の活動は欧州でも発生しており、APT28 は 2018年の EU議会選挙を前に、欧州の政治団体を標的にしたと言われている」と述べている。

ロシアの脅威グループに狙われている国や組織は?

政府や商業的な防衛組織は、政治/外交/軍事に関する豊富な情報を保持しているため、ロシアの APT のトップ・ターゲットとなっている。ロシアの脅威グループは、主に欧米の政府や、政府省庁、政治シンクタンク、政府関連組織などを標的にするが、同様に欧米の民間企業も標的にしている。ロシアは主要エネルギー生産国であり、標的国の経済を混乱させるために、エネルギー機関などの重要インフラを標的とする可能性もある。また、技術系や通信系の企業も有力なターゲットとなる。

地理的には、ウクライナがロシアにとっての、サイバースパイと破壊的攻撃の最大のターゲットであり、ロシアは同国での権力と影響力を拡大している。また、地政学的/軍事的に見て、古くからの敵国である、米国/NATO/トルコなども主要な標的となっている。Dark Intelligence の Warrington は、「ウクライナは事実上、ロシアによる新たなサイバー攻撃のための実験場である。したがって、今後の数年間で、どのような種類の攻撃が欧米で起こるかのを予測するためには、そこで起こることを理解する必要がある」と述べている。

ロシアが原因とされているサイバー攻撃は?

近年、最も注目を集めている攻撃のいくつかには、ロシアの脅威グループが関与していると考えられている。Fortune 500 の80% を標的にした SolarWinds キャンペーンと並んで、2017年に世界中の企業に影響を与えた破壊的な NotPetya サイバー攻撃の背後には、ロシアの国家支援を受けた APT グループ Sandworm (GRU の APT 28 とは別の Unit 74455) がいると非難されている。

その一方で、APT28 は、2016年に世界アンチ・ドーピング機構 (WADA) を標的とし、国際的なアスリートに関連する薬物検査情報を流出させた。2021年7月には、APT29 がサードパーティ・プロバイダーを介して、共和党全国委員会 (RNC) のコンピューター・システムを侵害したと報道されている。

ロシアに関連する APT グループが行っている活動が、メディアで大きく取り上げられているにもかかわらず、APT28 と APT29 には、悪意の活動をやめる気配がない。それは、SolarWinds のハッキングをはじめとする、最近のキャンペーンで証明されている。

一言でロシアン・ハッカーと言っても、ロシア軍情報機関 GRU 系、民間対外情報機関 SVR 系、国内情報機関 FSB 系というふうに、3つのグループに分けられるようです。この記事を読んでも、それぞれの目的や特徴などは識別できませんが、何らかの役割り分担があるのかもしれません。また、この記事には、REvil/Dark Side/Blackmatter の名前が出てこないので、これらの脅威アクターたちは、政府支援とは呼べないのかもしれません。ただし、この世界において、国家と民間が明確に切り分けられるものとは思えないので、このあたりもハッキリとはしません。とはいえ、この記事は、とても素晴らしい分析をしていますね。よろしければ、「ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!」もど〜ぞ。

%d bloggers like this: