ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する

Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine

2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250% の、NATO 諸国を標的としたものは 300% の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の1つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。

サイバー・オペレーションの5つのフェーズ

Google が焦点を当てる 2019年から2022年初頭にかけての第1フェーズでは、ロシアはウクライナと NATO 加盟国に対するサイバー・スパイ作戦を展開しており、Google が “pre-positioning” と呼ぶオペレーションも展開されていた。

このレポートは、「ロシア軍がウクライナ国境に集結し始めた1カ月後の 2021年4月から、おそらく GRU 傘下と思われる APT (Advanced Persistent Threat) グループ UNC2589  (別名 Frozenvista) が、ウクライナの組織に対してフィッシング攻撃を展開し始めた」と主張している。GRU とは、ロシア軍の参謀本部 (Main Directorate of the General Staff) の頭文字をとったもので、軍事情報機関を指す。2021年を通じて、これに続いたのが、Fancy Bear (別名 APT28/Frozenlake) などを含む、ロシアに支援された複数のグループである。

そして、2022年1月中旬には、破壊的なサイバー攻撃の波が始まり、WhisperGate (別名 PayWipe) や、その系列である WhisperKill (別名 ShadyLook) などのワイパー攻撃が行われた。これは、ロシア軍がウクライナへの運動侵攻を開始した第2フェーズを示すものであった。2月の陸上進攻に伴い、さらに破壊的なワイパー攻撃が多発した。

第2フェーズは4月まで続き、ランサムウェア PartyTicket やワイパー CaddyWiper などの、複数の新しいマルウェア・ファミリーが登場した。また、ICS (Industrial Control Systems) を標的とする破壊的なマルウェア Industroyer 2 も登場したが、これは 2016年12月のウクライナの電力網へのサイバー攻撃に使用された、Industroyer のアップデート版である。

2022年5月には第3フェーズへと突入し、ロシアの支援を受けた脅威アクターたちは、CaddyWiper などのマルウェアを再利用し、ウクライナや NATO 諸国の事業体を攻撃するようになった。

このレポートによると、第3フェーズは7月まで続き、第4フェーズとなる8月〜9月にかけて活動は鈍化したという。そして 10月から第5フェーズに入り、ロシアの脅威アクターが作成した、CaddyWiper などの新しいマルウェアを用いるサイバー攻撃が再開された。

このレポートには、「Mandiant のインシデント・レスポンス業務において、2022年1月〜4月のウクライナでは、それまでの8年間よりも破壊的なサイバー攻撃が観測され、その攻撃は侵略開始の頃にピークを迎えた。(中略) それぞれのフェーズで頻発したオペレーションは、アクセス/収集/破壊などのバランスを取ろうとする、GRU の試みを示していた」と記されている。

多面的な戦略

要約すると、ロシアのサイバー・スペースにおける多方面からの攻撃的アプローチには、次のようなものであった。

  • ウクライナの政府/軍/民間のインフラに対する、破壊的な攻撃の劇的な増加
  • NATO 諸国を標的としたスピア・フィッシングの急増
  • 機密情報を狙ったハッキング&リーク攻撃などのオペレーションの増加

このレポートでは、Frozenlake/Fancy Bear/Frozenvista/Puschcha (UNC1151) などの驚異アクターは、ウクライナや NATO 諸国に対するフィッシング・キャンペーンを行い、また、Coldriver (別名 Gossamer Bear) はウクライナや英国に対するハッキング・リーク・キャンペーンを行うなど、それぞれが特定の種類の攻撃に集中していることが報告されている。

その一方で、Google が “GRU の最も多才なオペレーター“ と呼ぶ Frozenbarents (別名 Sandworm/Voodoo Bear) は、ウクライナと NATO 諸国に対して、あらゆる種類のサイバー攻撃を仕掛けている。

Google/Mandiant レポートには、「これらの攻撃者は、ウクライナ政府/軍事団体に重点を置いているが、私たちが阻止したキャンペーンでは、重要インフラ/公共事業や公共サービス/メディアや情報スペースなどにも、矛先が向けられていた」と記されている。

しかし、このレポートは、一連のオペレーションが “複雑な結果”につながったとも指摘している。その好例が、ウクライナのエネルギー部門への攻撃を試みた Industroyer 2 であり、これは失敗に終わったようだ。

秘密裏に行われるフェイク情報キャンペーン

このレポートでは、こうした直接的なサイバー攻撃に加えて、ロシアがあらゆる種類の情報操作 (IO:Information Operations) キャンペーンを展開していることが示されている。

その中には、サンクトペテルブルクの悪名高い IRA (Internet Research Agency) が運営する、最もあからさまな国家主導の情報操作キャンペーンも含まれる。また、ロシアのコンサルティング会社である Krymskybridge や、ロシア情報機関と連携したグループなどの関連企業が運営する、より秘密裏なキャンペーンなど、さまざまなタイプのものがある。

Google は、ロシア国内外の視聴者を標的にした、2022年のロシアの IO 活動を、1950件以上も妨害した」と主張している。


さらに、このレポートは、金銭的動機に基づく攻撃グループは、今回の戦争により分断され、政府を後ろ盾とする脅威アクターとの重複が進んだことを示している。この現象は、ロシア人とウクライナ人のメンバーで構成されていた、Conti の最期に最も色濃く表れている。Conti グループは、リーダーとされる数名が、ロシアの侵略を公に支持した後に、活動を停止している。

このレポートは、「東欧のサイバー犯罪の生態系における変化は、犯罪集団間の連携や世界のサイバー犯罪の規模に対して、長期的な影響を与える可能性がある」と指摘している。

Google は、「今後において、ロシア政府の支援を受けた攻撃者は、ウクライナや NATO のパートナーに対するサイバー攻撃を続け、戦場の展開に応じて破壊的な攻撃を増やしていくだろう。そして彼らは、NATO のパートナーを巻き込んでますます拡大していくと、強い確信を持っている」と述べている。

研究者たちは、「特に国際的な資金調達/軍事援助や、国内における大統領選挙などの重要な局面へ向けて、ロシアは IO のペースと範囲を拡大し続けるだろうと、中程度の確信を持って考えている」と述べている。

2月24日で、ロシアによるウクライナ侵攻から1年が経ちます。そこで、Google と Mandiant が、この間に生じた、さまざまな事象を時系列でまとめるレポートを作成してくれました。文中で Conti の事例が挙げられていましたが、こうしたサイバー・ギャングと、国家に支援される APT を切り分けていたラインが、かなり曖昧としてきた感じがします。そして、この戦争が、どのような形で終結するにしても、サーバー犯罪を新たな次元へと押し上げる効果は残り続けるでしょう。最近の、ウクライナ関連の記事は、以下のとおりです。

2023/01/23:DDoS 攻撃によるロシア側の被害
2023/01/17:ウクライナ戦争に影響されるダークウェブ市場
2023/01/14:Brave ブラウザ:Tor へつなぐ検閲回避のフリーウェイ
2023/01/08:Turla APT の奇妙な動き:10年前のインフラを利用

よろしければ、Ukraine ページも、ご参照ください。

%d bloggers like this: