ロシア当局の REvil 逮捕を受けて:ハッカーたちはダークウェブで何を囁く?

Dark Web Chatter: What Other Russian Hackers Are Saying About the REvil Arrests

2022/01/21 SecurityWeek — 2022年1月14日に実施された、ロシア連邦保安庁 (FSB) によるランサムウェア REvil の破壊は、世界を驚かせた。それまで、ロシアを攻撃しないハッカーは、ロシアにいても安全だという不文律があった。FSB の発表によると、今回の破壊は米国当局からの要請に応えたものだという。それは、サイバー犯罪者に対する国際協力の新時代の幕開けなのか、それとも、ロシア外交の一例に過ぎないのか。判断を下すのは時間だが、それまでの間、我々は推測するしかない。

外交の観点からの主張は、REvil がソフト・ターゲットと見なされ、ロシアではレームダック化している可能性があることだ。2021年7月に REvil のインフラは、計画的なテイクダウンと表現される事態に見舞われた。Mandiant Threat Intelligence の John Hultquist は AFP に対して、「状況は進展していないが、REvil のインフラが、計画的かつ同時的もテイクダウンされたことを示唆する証拠がある。2021年10月には、ランサムウェア REvil に関連するTorサーバーが、複数の国々で行われたハックバック作戦により押収された。オペレーターの1人は、別れのメッセージを残していた」と述べている。

2021年11月に Europol は、REvil/GandCrab ランサムウェアに関連する、7人の容疑者を逮捕したと発表した。背景には、バイデン大統領からプーチン大統領への、ロシアのサイバー犯罪者に圧力をかけろという要望があった一方で、REvil 運営者たちの贅沢な暮らしぶりが見えていたことがある。ロシアのメディア Interfax は、FSB の行動により $5.6 million と20台の高級車が押収されたと報じている。

REvil は、ロシアの秘密ハッカー・コミュニティにおける価値を失ってしまったとも考えられる。それにより、サイバー攻撃に国家が関与しているという主張に対して、プーチンにもっともらしい反証を与えることが可能になる。REvil は、捕まえやすい犯罪組織になってしまったのだ。このような司式は、サイバー活動の最初の標的になるのが常である。REvil のテイクダウンに関する外交上の議論は、ロシアが失うものは少ないが、潜在的に多くのものを得る、というものだ。

Trustwave は、他のハッカーが、この状況をどう考えているかを知るために、ロシアのアンダーグラウンドでのチャットを監視してきた (ブログレポート) 。神経質になっている兆候に、同社が最初に気づいたのは、FBI と FSB の間で秘密の話し合いが行われているとされた、2021年11月のことだった。REvil が逮捕されるかなり前から、一部のハッカーは、もはやロシアは、安全な避難所ではないかもしれないと示唆していた。

Trustwave の報告によると、REvil の逮捕以降、さらに懸念は強まり、少なくとも1人のアンダーグラウンド・フォーラムの管理者が、法執行機関に寝返ったという噂も流れたようだ。あるメンバーは、「彼は RAMP フォーラムの管理者で、普通のハードワーカーに対して、法執行機関のために働いている」と投稿している。また、「はっきりしているのは、国が自分たちを守ってくれると期待している人たちは、大いに失望するだろうということだ」という投稿もあった。

安全だと感じられなくなったハッカーたちが、これから何をすべきかについては、多くの議論がなされている。推奨されているのは、匿名性のために Tor を使うこと、安全のために暗号化すること、保護のために盗品を1台のコンピュータだけに保管しないこと、などである。あるフォーラムのメンバーは、皮肉を込めて、「どこであっても、何かを書くことは今や危険だ。そして、モスクワやサンクトペテルブルクでは、いたるところにカメラが設置されている」と述べている。

REvil に対しては、「欲張りなおバカさんたちには全く同情できない。様々な会社の中で静かに座って、自分のことをしていた大勢の人々とって、沢山の有益な話題がネタバレされた。彼らの失敗により、全てが完全に壊された」といった批判もぶちまけられている。

Trustwave は、REvil の逮捕について、単なる外交的なショーではないかとの疑問を呈している。研究者たちは、「あるフォーラム・メンバーは、FSB の作戦は実際には捏造されたものであり、国際的なショーに過ぎないという可能性を提起した。この考えを裏付けるのは、米当局が今回の逮捕について公式にコメントしていないこと、FSB の活動がアメリカの機関の要請に応えたものであることを、否定も肯定もしていないことである」と述べている。

ロシア外交の長けているところは、主要な関心事 (ウクライナ?) から国際的な注意をそらすために、陽動作戦 (REvilの逮捕?) を実施するところだ、という指摘は注目に値する。

しかし、大きな問題は、次に何をするかだ。ロシア政府は、逮捕された容疑者たちを法の範囲内で起訴するのか?また、他のサイバー犯罪者の逮捕にもつながるのか? そして、既存のハッカー・コミュニティは、どのように反応するのだろうか? ハッカーたちが諦めて引退する可能性は低いだろう。より深くサイレント・ランニングに励む可能性は高く、また、別の地域に旅立つかもしれない。

ひとつだけハッキリしていることがある。あるフォーラムのメンバーは、「我々のビジネスで、スーパースターになることは非常に悪い考え方だ。REvil の逮捕は、騒がしい素人犯罪者を混乱させる一方で、よりプロフェッショナルで静かな犯罪者を強く混乱させることはないかもしれない。もちろん、これが本当に、国際協力のターニング・ポイントになるのであれば、話は別だが」とコメントしている。

この、REvil 破壊については、これまでに1月14日の「ロシア当局が REvil ランサムウェア・ギャングを壊滅させた」と、18日の「ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?」をポストしてきました。タイトルの通り、前者は速報的なニュースであり、後者はかなり踏み込んだ分析を提供しています。それらと合わせて、この記事を読むと面白いです。とは言っても、すべてが憶測の域を出ないのですが。

%d bloggers like this: