FBI Seizes Genesis Cybercriminal Marketplace in ‘Operation Cookie Monster’
2023/04/06 DarkReading — 盗み出されたクッキーなどの、危険なデータを流通させるために広く利用されている、ダークウェブ・フォーラムのホームページが、米国連邦法執行機関の押収通知に置き換えられた。FBI が押収した Genesis Market は、盗み出されたクッキー/認証情報/トークンだけではなく、被害者のネットワークにイニシャル・アクセスするための、ボットなどのツールを提供する、最大かつ広範に利用されるダークウェブ・フォーラムの1つである。この出来事は、世界中でサイバー犯罪に関与している人々に、国際的な法執行機関が与えた新たな打撃である。
2023年4月4日 (火) に、このマーケットプレイスのホームページは、[Operation Cookie Monster の一環として、この Web サイトは FBI により押収された] という通知に置き換えられた。この通知には、ウィスコンシン州の東部地区連邦地方裁判所から発行された、押収令状が掲げられている。
今回の Genesis の押収の背景には、国際的な法執行機関と民間企業の協力があった。この通達によると、欧州の法執行機関 Europol および、スペインの Guardia Civil、スウェーデン警察組織 Polisen、カナダ政府などのロゴが含まれているとのことだ。
また FBI は、Genesis Market で活動していた人々や、このフォーラムの管理者と連絡を取っていた人々からの聴取を求めており、同機関に連絡するための電子メールアドレスを提供している。
大物 IAB (Initial Access Broker) のテイクダウン
Genesis が設立されたのは 2017年のことであり、潜在的な被害者のデータにアクセスしようとする脅威アクターたちに、認証情報やクッキーからデジタル指紋にいたるまでを提供する、招待制のマーケットプレイスとして機能してきた。
2022年8月に Sophos が発表したレポートでは、このサイトが IAB (Initial Access Broker) として、きわめて効果的に運用されてきた様子が明らかにされていた。IAB とは、標的のネットワークに足場を築いた攻撃者が、ランサムウェアやサイバー・スパイなどの、各種の悪意のアクティビティを支援するサービスのことである。
Sophos の研究者たちは、「Genesis Marketplace は、本格的な老舗の IAB の1つであり、最も洗練された1つであることも間違いない」と、当時のレポートで述べている。その時点で、このサイトには 40万台のボット (侵害されたシステム) が登録されており、フィッシングなどのサイバー攻撃を仕掛けるために、サイバー犯罪者が悪用する盗難データに加えて、よく整備されたツールも提供されていた。
Genesis はサイバー犯罪のプロ化と専門化の進展を示しており、被害者のシステムへのアクセスを獲得/維持し、他の犯罪者にアクセス権を売却することで収益を得ていたと、Sophos は指摘している。
Genesis Market のボットが実行するタスクとして挙げられるものには、コンシューマ・デバイスへの大規模な感染に加えて、それらのデバイスに保存されている、デジタル指紋/クッキー/ログイン情報/自動入力フォーム・データなどの窃取が含まれている。
このマーケットプレイスは、それらのデータをパッケージ化して販売していた。価格帯に関しては、パッケージに含まれるデータの量に応じて、$1〜$370 までの幅が設定されていたという。
法執行機関の勝利が続いている
Genesis は、国際的な悪意のサイバー犯罪のリソースとして、当局の注目を集めていた。そして、各国の法的執行機関は、各種のサイバー犯罪集団だけではなく、その活動を助長するダークウェブの取り締まりに共同で取り組んでいる。脅威アクターたちに重要なリソースを提供していた、別の2つのフォーラムを廃止に追い込んだ FBI と関連組織にとって、Genesis の摘発は大きな功績となる。
2023年3月に、アンダーグランド・ハッカーサイト BreachForums は、そのリーダーとされる人物がニューヨークで逮捕されてから、1週間も経たないうちにオフラインになった。この閉鎖の5日前に米連邦捜査当局は、BreachForums の管理者ハンドルネーム pompompurin を用いていたとされる、Conor Brian Fitzpatrick という男をニューヨーク州ピークスキルで逮捕していた。
米国の司法省や国際機関により、別のサイバー犯罪リソースである RaidForums が取り締まられた後の 2022年4月に、この BreachForums が出現した。この2つのマーケットプレイスは、侵害から得たデータを売買することで、サイバー脅威活動を促進していた。
この他にも、先週にはカナダのオンタリオ州で、ランサムウェア LockBit の首謀者の1人が逮捕された。また、昨年の 10月にはブラジル連邦警察が、サイバー犯罪組織 Lapsus$ Group のメンバーであると疑われる、ブラジル人の男を逮捕している。
ついにと言うか、やっとと言うか、Genesis がテイクダウンされました。これは、喜ぶべきことです。2022/08/08 の「Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供」は、このダークウェブの至れり尽くせりのサービスが詳述されています。また、入場審査の厳しさなどについても触れられており、侵入が困難だと想像していましたが、隙きを突いてテイクダウンにおよんだのでしょう。良かったです。
IoT OT Security News 
You must be logged in to post a comment.