Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供

Genesis IAB Market Brings Polish to the Dark Web

2022/08/08 DarkReading — アンダーグラウンドのサイバー犯罪経済における 、イニシャル・アクセス・ブローカー (IAB initial access brokers) の役割の増大は、老舗の1つである Genesis Marketplace の進化に反映されており、時間の経過とともに洗練されてきたことが窺える。今週の Sophos のレポートでは、招待制として 2017年にスタートしたマーケット・プレイスを介して、認証情報やクッキーからデジタル指紋にいたるまで、他者のデータへの不正アクセスを脅威アクターに提供している、Genesis のビジネスが包括的に取り上げられている。

いまの Genesis は、200カ国以上で40万以上のボット (侵害したシステム) をリストアップしており、その被害国の上位にはイタリア/フランス/スペインなどがランクインしている。

このマーケット・プレイスでは、不正に収集されたデータだけでなく、そのデータの (誤った) 利用を促進するための、整備されたツール類も提供されている。それらのツールには、標的内のボットへのアクセスに用いる盗み出した認証情報を展開する際に、クライアントがレーダーの下に留まるのを支援する、特注の検出防止製品なども含まれる。具体的には、Google Chrome エクステンションや、継続的に保守/更新される Genesiumブラウザなどが含まれる。

Sophos の脅威研究者である Angela Gunn は、「ほとんどの攻撃者は、特に経験の浅い攻撃者は、攻撃前の偵察や侵入の段階に費やす、時間や労力を抑制したいと考えている。その意味で、Genesis の成熟度は、使いやすさと限定されたアクセスを介した、真摯な問い合わせ窓口により、時間や労力が無駄にされないレベルに至っている」と述べてる。

このサービスは、提供されるデータの品質レベルが高いだけではなく、盗み出した情報を常に最新の状態に保つという、サイトの取り組みにより構成されている。つまり、盗み出された情報に対価を支払ったハッカーは、その情報の変更/更新についても、Genesis から知らされることになる。そしてユーザーは、対象となるボットの情報量に応じた料金を請求される。

Sophos のレポートには、「2021年6月の、EA からのデータ流出につながった1セットの認証情報は、EA の Slack を通じたシステム侵入を生み出したことで有名だが、Genesis で $10 で購入された」と記されている。

Sophos は、「Genesis が提供するサービスと UI は、133tsp34k や Matrix を真似た古い時代のものとはかけ離れたレベルの、洗練されたものだ。具体的には、洗練された最新のインターフェイスと、FAQ ページ、多言語による技術サポートが含まれる」と指摘している。

また、Genesis からの情報をもとに攻撃を行ったユーザーであれば、侵入したシステムに関する最新情報を記載したダッシュボードにアクセスすることが可能となる。Angela Gunn は、「Genesis が、カスタマー・サービス機能を備えているという事実は、このフループの真剣な取り組みを裏付けるものだ」と指摘している。

需要の高まりとプロフェッショナル化する IAB

Genesis の進化は、サイバー犯罪経済における専門化と特化の進展を指し示していると、このレポートは指摘している。

ランサムウェアのグループやアフィリエイトは、このサービスの最も頻繁な顧客であると想定される。それらの犯罪者は、ターゲットへの迅速なアクセスや、迅速な横移動を可能にする、IAB サイトを探している。

Gunn は、「もちろん、Genesis だけの話ではないが、Dark Web は、しばらくの間は専門化していく。こうしたビジネスで必要となる要素には、応募者の審査/確実な検索/技術サポート/開発者/デザイナーなどがあり、タダでできるものではない。そこに対価を支払うということは、この分野の利益が、いかに高いかを証明している」と述べている。

また、Genesis のマーケットプレイスは、高度に組織化されているため、悪意の行為者が盗んだデータに関するコンテキスト情報を入手し、侵害したシステムに対する深い洞察を得ることができるという特徴も兼ね備える。それにより、より独創的な攻撃経路を生み出す可能性も生じる。

このレポートは、「たとえば、私たちの最新調査で見つかったダークネット・マニュアルには、盗み出した認証情報が無効となった場合に、Genesis の補完データを使用することで、被害者をアカウントから追い出す手順が示唆されている。つまり、被害者が盗まれた認証情報の脅威を無効化しようとしても、攻撃者は補完データを使って、被害を受けたユーザーを継続して恐喝できる」と指摘している。

立入禁止の扱い

このサービスの、招待者だけに提供されるアクセシビリティは、排他的で洗練された雰囲気を醸し出している。その結果として、Genesis へのアクセスを約束し、クレジット カードによる入金を要求する、偽サイトのサイバー犯罪エコシステムが小さくなった。

2016年から IAB を追跡している Digital Shadows は、サイバー犯罪者の間で IAB の利用が増加していることを、2021年11月に報告した。Gunn は、「ユーザー組織が、IAB のオークションに取り込まれるのを避けたいのであれば、まず、すべての脆弱性にパッチを当て、システムを整え、警戒を怠らないようにすべきだ」と述べている。

彼女は、「IAB は、脅威の中では新しい存在だが、偵察と侵入のプロセスは新しいものではない。ユーザー組織は、こうした異常なアクティビティを認識するための、検知のための戦略を持つべきだが、それと同時に、自社のネットワークや潜在的な攻撃対象に応じて、優先的にパッチを適用すべき場所などを理解する必要がある」と指摘している。

今日の記事を読むと、この世界におけるコンセプト/サービス/テクノロジーなどの、あらゆるものが諸刃の刃であることが分かります。Genesis を考え、具体化している人物は、きっとオモテの世界でも活躍できる、とても有能な人なのでしょう。そう考えると、人こそが諸刃の刃ですね。ウクライナでの戦争が終結した後、東欧がヤミ兵器の巨大マーケットになるという予測がありますが、それはサイバー兵器に関しても同じことだと思います。驚異を感じるとともに、とても残念な思いになります。

%d bloggers like this: