Russian Hackers Use Western Networks to Attack Ukraine
2022/12/06 InfoSecurity — 英国/米国などの組織において、そのネットワークへのアクセスを不正に維持しているロシアン・ハッカーたちが、ウクライナに対して攻撃を仕掛けていることが、Lupovis の最新レポートで明らかにされたな。スコットランドのセキュリティ企業である Lupovis は、ロシアの脅威アクターをおびき寄せるために Web 上にルアーを展開し、その TTP (Tactics, Techniques and Procedures) の研究で成果をあげた。
一連のルアーは、重要なユーザー名/パスワード/機密情報を含むように偽装され、サイバー犯罪フォーラムに流出したと見せかける、偽のハニー・ファイルなどで構成されていたようだ。
また、ウクライナにおける政治/行政サイトを模倣した、安全ではない設定の Web ポータルや、高度な相互作用を持つ ssh サービスなども、ルアーとして使用された。なお、後者については、Web ポータルからの偽の認証情報を受け入れるように設定されていという。
この演習で浮き彫りになったのは、ロシアの脅威アクターがウクライナを標的して、準備を整えているという証拠である。わずか5つのデコイに対して、50~60人もの人間が対話したが、その中の多くが、ハニーポットの始動から1分も経たないうちに到達しているのだ。
騙されたハッカーたちが試みた攻撃行為には、ルアー情報の偵察/DDoS ボットネットへの徴用/SQL インジェクション悪用などがあった。
さらに衝撃的だったのは、その後に Lupovis が発見したこと
Lupovis は、「この調査から得られた、最も気になる発見は、ロシアのサイバー犯罪者たちが、Fortune 500 企業/15 以上の医療機関/ダム監視システムなどを含む、複数のグローバル組織のネットワークを侵害していることだ。それぞれ組織は、英国/米国/フランス/ブラジル/南アフリカに拠点を置いているが、これらのネットワークを迂回して、ロシアの犯罪者たちはウクライナにサイバー攻撃を仕掛けている。つまり、それらの組織を利用して、ダーティー・ワークを遂行している」と説明している。
Lupovis は脅威アクターについて、国家に支援された攻撃者ではなく、ロシアのサイバー犯罪者だとする仮説を立てている。
同社は、「この調査では、15以上の医療機関がロシアの犯罪者により侵害され、水面下で悪用されていたことを考えると、他の機関への攻撃を開始するためのアクセスに、それらを利用するという可能性が浮かび上がる。つまり、ネットワークの水面下で活動する攻撃者たちは、そのアクセス権を利用して他の医療機関に攻撃を仕掛けていることが示唆される。したがって、次の犠牲者へと攻撃者たちが移行する前に、いまの環境を危険にさらす、あらゆる手段を最大限に悪用されていることが示唆される」と付け加えている。
ウクライナの政府系 Web サイトを装うルアーを展開したら、1分も経たないうちにアクセスがあり、わずか5つのデコイに対して、50~60人もの人間が対話したとのことです。しかも、英国/米国/フランス/ブラジル/南アフリカに拠点を、グローバル組織のネットワークを経由して行われたとのことです。つまり、それらの組織は、すでに侵害されているとみなされます。よろしければ、Ukraine ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.