ロシアと中国のコラボ:Dark Web でハッカーたちは何を相談する?

Russian ransomware gangs start collaborating with Chinese hackers

2021/11/17 BleepingComputer — ロシア語圏のサイバー犯罪フォーラムにおいて、中国のハッカーたちに協力を求めているような、新たな動きが散見される。中国の脅威アクターを参加させようとする試みは、主に RAMP ハッキング・フォーラムで見られる。このフォーラムでは、中国語を話す人物の会話への参加や、ヒントの共有。共同での攻撃などが奨励されている。

ロシアのフォーラムに参加する中国人ユーザー

Flashpoint の新しいレポートによると、RAMP の管理者やベテラン・ユーザーたちは機械翻訳された中国語を介して、新しいフォーラムのメンバーと積極的にコミュニケーションを取ろうとしている。このフォーラムでは、中国から来たと思われる新規ユーザー登録が、少なくとも 30件はあったと報告されており、何らかの注目すべきことの始まりとなる可能性が示されている。

研究者たちは、ロシアのランサムウェア・ギャングが、中国の脅威アクターと同盟関係を築き、米国を標的とするサイバー攻撃や、脆弱性情報の交換、RaaS (Ransomware-as-a-Service) のための新たな人材の確保などが、最も可能性の高い展開だと指摘している。

今月の初めに、ある脅威アナリストが BleepingComputer に語ったところによると、この取り組みは、RAMP の管理者である Kajit が始めたものであり、彼は中国に滞在したことがあり、中国語を話すことができると主張しているそうだ。RAMP の旧バージョンで Kajit は、中国の脅威アクターをフォーラムに招待すると予告していたが、それが実現しているようだ。

しかし、Flashpoint によると、ロシアのハッカーが中国の脅威アクターと協力しようとしているのは、RAMP ハッキング・フォーラムに限ったことではなく、XSS ハッキング・フォーラムでも同じような協力関係が確認されているという。同社は、RAMP 管理者に関するこれまでの経緯を踏まえ、これが単なる煙幕であり、実際には中国人ユーザーが RAMP に参加していない可能性もあると強調している。

先月に、Orange や boriselcin などと呼ばれ、Groove サイトを運営していた RAMP 管理者が、米国への攻撃を脅威アクターに呼びかける投稿を行った。BleepingComputer などのメディアが、その投稿を取り上げた後に、Groove のある脅威アクターが、この作戦は最初から偽物であり、メディアやセキュリティ研究者を混乱させるためのものだと主張していた。McAfee と Intel 471 のセキュリティ研究者たちは、これは脅威のアクターが試みた RaaS が計画通りに機能しなかったという事実を、隠蔽しようとしているだけだと考えている。このように、RAMP 管理者の過去の行動を見ると、彼らの言うことには懐疑的にならざるを得ない。

しかし、最近のことだが、ランサムウェア Conti が RAMP フォーラムに投稿し、アフィリエイトを募集し、ネットワークへの初期アクセスを進めようとしている。BleepingComputer で公開されたスクリーン・ショットによると、このギャングは、通常はロシア語を話すハッカーだけと仕事をしているが、RAMP の管理者に敬意を表し、中国語を話す脅威アクターは例外だと述べている。Conti は、「この広告はロシア語で書かれており、我々がロシア語を話す人だけと仕事をする。しかし、管理者に敬意を表して、中国語を話すユーザーに対しては、このメッセージを中国語に翻訳する」と述べている。このように、RAMP フォーラムでは、中国語を話す脅威アクターを積極的に招待し、会話や攻撃に参加させているようだ。

成長を続ける RAMP

RAMP は、開設直後に DDoS 攻撃を受けたが、着実に成長を続けているようである。
昨年の夏に、ランサムウェア Babuk の中心メンバーにより設立されたが、その目的は、サイバー攻撃で盗まれた貴重なデータの流出や、ランサムウェア仲間の募集の場を作ることであった。

9月には RAMP の管理者が、各種の企業ネットワーク上の 12,856台のデバイスにアクセスするための、Fortinet VPN 認証情報 498,908件を投稿し、その情報が流出した。これらの認証情報の多くは古いものだったが、セキュリティ研究者たちは、認証情報の多くはまだ有効であり、RAMP フォーラムは評判を高めたと述べている。

Flashpoint の報告によると、RAMP は、新しい.onion ドメインを使用し、以前のユーザー全員に3度目の再登録を求めている。しかし、他のハッキング・フォーラムの会員であることは要求されなくなり、英語を話す人にも門戸が開かれているようだ。

この RAMP と関連する Babuk ですが、これまでに「 Babuk ランサムウェアの全ソースコードがハッカー・フォーラムにリーク!」と、「Babuk ランサムウェアの復号ツールが無償でリークされた」という記事をアップしていました。また、ロシアと中国が絡む記事としては、「ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている」があります。この両者がコラボすると、良くないことが起こりそうな気がしますね。

%d bloggers like this: