Microsoft: Russian state hackers behind 53% of attacks on US govt agencies
2021/10/08 BleepingComputer — Microsoft によると、ロシア由来のハッキング・グループが、米国の政府機関を標的にするケースが増えており、2020年7月〜2021年6月に観測された、国民支援型攻撃の 58% がロシアからのものだという。
Microsoft の Corporate VP for Customer Security & Trust である Tom Burt は、「ロシアの国民支援型脅威アクターは、情報収集のために政府機関を標的にすることが多くなっており、その比率は1年前の 3% から 53% へと急増し、主に外交政策/国家安全保障/防衛に関わる機関が標的になっている。また、ロシアの国家機関からの攻撃は効果的になっており、昨年の侵害成功率 21% から今年は 32% にまで上昇している」と述べている。
Nobelium – 最も活発なロシアのハッキング・グループ
ロシアの支援を受けた脅威アクターの中で最も活発なのは、Microsoft が Nobelium として追跡しているグループである。このグループは 2020年7月から、欧米の政府機関や IT サービス・プロバイダーを積極的に標的にし、ロシアをサイバー攻撃国のトップへと押し上げた。
Nobelium は、2020年7月〜2021年6月に、Microsoft が顧客に送信したロシア・ベース脅威活動に関する通知のうち、92% の攻撃の背後で調整を行っている。
このハッキング・グループが、重要インフラへの攻撃による破壊活動を実行していることから、情報へのアクセスと収集うに、ロシアが関心を持っていることが分かる。
さらに Microsoft は、「一連の行為は、国民支援型脅威アクターによる侵害の一部に過ぎない。Microsoft の顧客は、この種の攻撃について 20,500件の通知を受けている。これまでの1年で、ロシアを拠点とする活動グループは、適応/持続/技術を悪用するスタイルを確立し、匿名化やオープンソース・ツールを使いこなすことで、グローバルなデジタル・エコシステムに対する脅威としての地位を、確固たるものにしてきた。また、巻き添え被害に対する高い耐性を示しており、彼らの関心事と関連性を持つ者は、標的にされやすい状況にある」と述べている。
Microsoft の報告書によると、ロシア国家の支援を受けたハッキング・グループは、以下のように世界中の組織を標的にしている。
・NOBELIUM (別名:UNC2452)は、政府/外交/防衛機関/IT サービス/通信/シンクタンク/NGO/防衛関連企業を攻撃してきた。
・STRONTIUM (別名:APT28 Fancy Bear) は、各国政府/外交/防衛機関/シンクタンク/NGO/高等教育機関/防衛関連企業/IT サービスを標的としてきた。
・BROMINE (別名:Energetic Bear) は、政府/エネルギー/民間航空/防衛産業基盤団体への侵入を試みてきた。
今週の木曜日に、Google Threat Analysis Group (TAG) の Director of Software Engineering である Shane Huntley も、APT28 (STRONTIUM) による国家支援型フィッシング・キャンペーンの標的にされたとして、1万4000人のユーザーに警告を発したことを明らかにしている。BleepingComputer に寄せられた声明の中で Huntley は、この APT28 フィッシング・キャンペーンが、10月に Google が配信したバッチ警告の、約 86% を占めたと付け加えている。
Nobelium とは?
Nobelium は、ロシア対外情報庁 (SVR) のハッキング部門であると考えられており、APT29/The Dukes/Cozy Bear などの名称でも追跡されている。2021年4月に米国政府は、この SVR が SolarWinds の広域サイバースパイ・キャンペーンを調整し、複数の米国連邦機関に情報漏洩をもたらしたと、正式に告発した。
また、サイバーセキュリティ企業 Volexity は、同じハッキング・グループの運営者が、2018年に生じたインシデントの戦術を再利用していることに気づき、SolarWinds 攻撃と関連づけている。
この3月に Microsoft の研究者たちは、侵害されたシステム上で持続性を維持するために用いられる3つの Nobelium マルウェア系統、すなわち、Command and Control バックドアの GoldMax および、HTTP トレーサーツール の GoldFinder、持続性ツール/マルウェア・ドロッパーの Sibot について明らかにした。
また、その2ヶ月後には、4つの新たな Nobelium マルウェア・ファミリーの詳細を明らかにした。それらは、マルウェア・ダウンローダの BoomBox および、シェルコード・ダウンローダ・ランチャの VaporRage、悪意のある HTML 添付ファイル EnvyScout、ローダーの NativeZone となる。
なんとなく、Nobelium が元締めという感じがしていましたが、やはりそうなんですね。ただし、APT28 と APT29 に関しては、先日の「ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた」に、「米国は、ロシア参謀本部主要情報局 (GRU) のメンバーとされる 12人を、APT28 (Fancy Bear) に関連する活動で起訴したが、APT29 (Cozy Bear) に関しては、ロシア対外情報庁 (SVR) の管轄下で活動している可能性が高いと考えられている」と記されています。このあたり、まだまだ分析の途中ということなのでしょう。
IoT OT Security News 