Google が悪意のドメインをブロック:hack-for-hire グループを叩け!

Google blocked dozens of domains used by hack-for-hire groups

2022/06/30 BleepingComputer — Google の Threat Analysis Group (TAG) は、世界中の高リスクな標的を狙う攻撃のために、複数の hack-for-hire グループが用いている、数十の悪質なドメインと Web サイトをブロックした。悪意の商用監視ベンダーが、その顧客による攻撃に使用されるのとは異なり、hack-for-hire オペレーターはダイレクトに攻撃に関与し、通常は、そのような悪意のサービスを提供する驚異アクターに雇用される。また、フリーランスの脅威アクターが、その役割を担うこともある。

彼らは、ハッキングのスキルが不足している顧客や、攻撃に対する検知/調査から身元を隠したい顧客から、そのハッキング・スキルを買われて雇われる。

それらのハッキング集団は、個人/組織をターゲットにして、データ窃盗や企業スパイ活動を行い続けており、ここまでの被害者の中には、政治家/ジャーナリスト/人権活動家/政治活動家などの、世界中の様々なハイリスク・ユーザーが含まれている。

木曜日に Google TAG の Director である Shane Huntley は、「hack-for-hire キャンペーンにおけるターゲットの幅広さは、ミッションとターゲットが明確に定義されていることが多い、政府に支援されたサイバー攻撃とは対照的である。先日にインドの hack-for-hire オペレーターが実施したキャンペーンでは、キプロスの IT 企業/ナイジェリアの教育機関/バルカン半島のフィンテック企業/イスラエルの小売業などがターゲットにされていた」と述べている。

世界各地の hack-for-hire キャンペーン

現在、Google TAG では、インド/ロシア/UAE などの、複数の国々における複数の hack-for-hire オペレーターと、そのキャンペーンを追跡している。

たとえば、攻撃的なセキュリティ・プロバイダーである Appin と Belltrox に関連したとして、これまでの 10年間にわたって追跡されてきたインドのスパイ・グループは、サウジアラビア/バーレーン/UAE などの、政府/ヘルスケア/テレコムといった分野の組織に対して、信用情報を吸い上げるための組織的なフィッシング・キャンペーンを行ってきた。

ロイター通信も、このインドのサイバー攻撃者について、「米国/欧州における少なくとも 75 の企業や、30 以上の支援団体とメディアグループ、多数の企業幹部、ターゲットの弁護士 (108 の法律事務所における約1000人の弁護士) などのメールボックスへの侵入を試みた」と報じている。

また、ロシアの脅威アクターである Void Balaur は、ヨーロッパ全域 (ロシアを含む) のジャーナリスト/政治家、NGO 組織になどに対する、認証フィッシング攻撃に関連していた。以下は、その価格表である。

Void Balaur pricing list (Google TAG)

Shane Huntley は、「H-Worm の開発者と関連があり、アムネスティにもマークされている、UAE に拠点を置くハッカー集団は、主に中東/北アフリカの政府/教育/政治などの団体に攻撃を集中させている。そのアクティビティが発見された後に、彼らが標的とする Webサイトとドメインに対して、セーフ・ブラウジングに追加され、さらなる被害からユーザーを守っている。ハイリスクなユーザーに推奨するのは、Advanced Protection と Google Account Level Enhanced Safe Browsingを 有効にし、すべてのデバイスを確実にアップデートすることだ。さらに、Google の Investigation Group は、一連のインシデントに関連する詳細と指標を法執行機関と共有している」と述べている。

また Huntley は、インド/ロシア/UAE における hack-for-hire グループのアクティビティを調査している間に、Google によりブロックされた悪意のドメインの完全なリストを共有している。

Google TAG のセキュリティ専門家チームは、世界中の政府にスパイウェアを販売している数十の監視ベンダーを含めて、国家に支援され、金銭的な動機付けを持つ、大量の脅威アクターたちも追跡している。

先日に、Google TAG のメンバーである Clement Lecigne と Christian Resell は、「TAG は、様々なレベルの 30以上のベンダーが、政府に支持された驚異アクターたちに、エクスプロイトや監視機能を販売している疑いがあるため、積極的に追跡している」と述べている。

サイバー空間における脅威アクターたちのエコシステムの一部を担う、複数の hack-for-hire サイトを 、Google がブロックしたという話です。この主の記事を読むと、脅威アクターたちの分業化と、依存関係が見えてきますね。よろしければ、6月2日の「RaaS ギャングとアクセス・ブローカーの緊密な関係:深化するエコシステムを追跡」も、ご参照ください。

%d bloggers like this: