Microsoft Outs New Russian APT Linked to Wiper Attacks in Ukraine
2023/06/14 SecurityWeek — Microsoft のセキュリティ研究者たちは、ロシアの General Staff Main Intelligence Directorate (GRU) に関連する新たな APT グループの情報を公表し、この脅威アクターがウクライナの組織へ向けた破壊的なワイパー・マルウェア攻撃に取り組んでいることを警告している。同社の脅威情報チームが発表した新しいレポートでは、このグループは Cadet Blizzard と名付けられ、戦時環境におけるマルウェアの範囲と使用方法を明確にするための、兆候と証拠が記録されている。
Microsoft は、「ウクライナのコンピュータの Master Boot Record (MBR) を消去する、WhisperGate ワイパーマル・ウェアを作成したのが Cadet Blizzard だ。特にウクライナでの軍事行動を支援ために、破壊的サイバー操作を行ってきた、GRU に帰属する新しいアクターの出現は、ロシアにおけるサイバー脅威の状況において、注目すべき進展である」と述べている。
また、Microsoft は、ウクライナで発生している複数の組織の Web サイトの改ざんや、Free Civilian という Telegram 上のハッキング&リーク・チャネルと、このロシアの APT グループを初めて結びつけている。
2022年1月に WhisperGate ワイパーがリリースされて以来、このグループを追跡してきた Microsoft の脅威インテリジェンス・チームは、そのころから、何らかの形で、活動が生じていたと考えているようだ。
Microsoft は、「ロシアによるウクライナ侵攻を通じて実施されてきた、GRU 主導の作戦における任務/目的と一致する Cadet Blizzard の動向は、重要な地域での破壊的攻撃/スパイ活動/情報操作と重複している」と述べている。
主な標的として挙げられるのは、ウクライナの政府機関/情報技術プロバイダーに加えて、ヨーロッパとラテン・アメリカにおける組織などである。
研究者たちは、この攻撃者が数カ月にわたって、侵入したネットワーク上で足場を維持し、破壊的な行動を起こす前にデータを流出させてきたという、多数の事例を発見している。
Microsoft は、「Cadet Blizzard における活動の一部は、行き当たりばったりである。そして、少なくとも1つのロシアの民間組織が、WhisperGate による破壊的な攻撃の際に運用を支援し、実質的にハッカーを支援したという証拠を発見した。Cadet Blizzard は、サプライチェーンに対して “Compromise One, Compromise Many” 手法を用いることで、西側の政府機関にサービスを提供する、情報技術プロバイダーやソフトウェア開発者を繰り返し標的にしている」と述べている。
破壊的なワイパー型マルウェアが増えているという話は、2023/02/23 ます「ワイパー・マルウェアが急増:ウクライナ侵攻により世界中で蔓延し始める」でも紹介されているように、戦時下で生み出された攻撃手法と理解して良さそうです。また、WhisperGate に関しては、2023/02/17 の「ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する」に登場しています。よろしければ、WhisperGate で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.