10/25/2019

ロシアのハッカーの進化する偽旗作戦の略歴

WIREDより

ANDY GREENBERG

ほとんどのハッカーは、自分の痕跡を隠す方法を知っています。しかし、ロシアのエリートグループはまったく別のレベルで活動しています。

詐欺は常にハッカーの戦略の一部です。しかし、侵入者が自分の痕跡を隠すことと、考案されたアイデンティティを採用すること、あるいはサイバー攻撃のために別の国をでっち上げることです。ロシアのハッカーは上記のすべてを行っており、現在はさらに一歩進んでいます。一連のスパイ事件で、彼らは別の国のハッキングインフラをハイジャックし、それを使用して被害者をスパイし、マルウェアを配信しました。

月曜日に、NSAと英国のGCHQは、TurlaまたはWaterbugとして知られるロシアのハッカーグループが長年にわたって複雑なスパイ行為を行ってきたという警告を発表しました。OilRigとして知られるイランのハッカーグループのサーバーを引き継ぎ、ロシアの目的を発展させるために使用しました。

シマンテックと他のサイバーセキュリティ企業は今年初めにTurlaのピギーバッキングを発見しましたが、米国と英国の諜報機関は現在、この作戦の巨大なスケールの概要を説明しています。ロシアのチームは35か国のいけにえをスパイし、そのすべてが最初の検査で侵入者がイラン人であると信じていたかもしれません。NCSCのオペレーションディレクターであるポール・チチェスターの声明によると、「サイバー組織が身元を隠そうとしても、最終的には身元を特定できるという明確なメッセージを送りたい」とのことです。

しかし、Turlaは結局明らかにされませんでしたが、この作戦により、デジタル調査員に新たな不確実性の次元が追加されます。より広範には、ハッカーが偽のフラグの背後に隠れる方法の急速に進化する性質を示しています。ほんの数年前、彼らは不器用なマスクを着用していました。今では、他のグループのアイデンティティを2番目のスキンとして実際に着用できます。そして、他の国々が慣習に手を出しました—北朝鮮は有名な「平和の守護者(Guardians of Peace)」という名でソニー・ピクチャーズをハッキングしましたが、ロシア人ほどその進歩を押し進めた人はいません。

「彼らの積極的なサイバー活動は、積極的な対策の実質的な経験の基礎にあります」と、脅威インテリジェンス企業FireEyeのインテリジェンス分析のディレクターであるジョン・ハルトキストは言います。「彼らが問題の最前線にいることは間違いありません。」

ハクティビストのなりすまし

ロシアのハッカーは、早ければ2014年に始まって、混乱の層を生み出すために、ことわざにある偽装のグラブバッグを選択しました。例えば、その年の5月、Cyber Berkutと呼ばれるグループが、ウクライナの革命後選挙の最中にウクライナの中央選挙委員会をハッキングしました。「Berkut」は「ワシ(eagle)」のウクライナ語であり、革命で親ロシア政権を支持し、100人以上の抗議者を殺した警察の名前でもある。Cyber Berkutのハッカーは、ウクライナ政府を汚職と非難する活動家を装って、委員会のウェブサイトに政治的メッセージを投稿しました。彼らは後に選挙の日に偽の投票結果を示した委員会のウェブサーバーに画像を植え、超極右候補者のDmytro Yaroshをトップに置きました。

委員会は投票結果が発表される前に画像を発見して削除しましたが、ロシアのメディアはそれにもかかわらず偽の集計を行い、ハッカー、ロシアのテレビネットワーク、クレムリンの協力を示唆しました。Cyber Berkutは後に、APT28またはFancy Bearとして知られるロシアの軍事情報ハッカーグループの代役であることが明らかになりました

数年にわたって、GRUはこれらの偽フラグ「ハクティビスト(hacktivist)」攻撃を何度も繰り返しました。Cyber Caliphateと呼ばれるハッカーは、2015年にフランスのテレビ局TV5Mondeを襲い、放送局のコンピューターを破壊し、そのウェブサイトにジハードメッセージを投稿しました。この誤った指示により、フランスの諜報機関ANSSIがGRUに罪を着せる前に、ISISが攻撃を実行したという即座の推測に至りました。そして2016年、セキュリティ会社CrowdStrikeは、GRUが米国を標的とした偽旗作戦の背後にあるスパイ機関であると特定しました。Fancy Bearハッカーは、Guccifer 2.0という名前のルーマニアのハクティビストや、盗まれたドキュメントを配布するDCLeaksと呼ばれる内部告発サイトのような前線の背後に隠れていました

ランサムウェアの偽物

2016年末までに、GRUハッカーは戦術を変え始めました。その年の12月、スロバキアのサイバーセキュリティ会社ESETのアナリストは、彼らがテレボットと呼んでいたGRUハッカー(Voodoo BearまたはSandwormとも呼ばれる)は、ウクライナのネットワークに対するデータ破壊攻撃でハクティビストとサイバー犯罪者の両方の戦線を使用したと指摘しました。場合によっては、ワイプされたコンピューターが、テレビドラマ「Mr. Robot」の無秩序なハクティビストへの言及として、「WE ARE FSOCIETY, JOIN US」というメッセージを表示することを発見しました。しかし、同じ時期の他の事件で、ESETはハッカーがビットコインのランサムウェアの支払いを要求していることを発見しました。

これらはすべて、クレムリンにとってもっともらしい否認権を生み出しました。「彼らの古いトリックが明らかになったとき、彼らはこれを行う新しい方法を実験する必要があります」と、戦略国際問題研究センターの戦略技術プログラムのディレクターであるジェームズ・ルイスは言います。

2017年春までに、GRUハッカーは攻撃のカバーストーリーとしてランサムウェアに完全に移行し、ウクライナのターゲット(XData、NotPetyaBad Rabbitとして知られるマルウェア)に対する一連のランサムウェアワームを開始するように見えました。特にNotPetyaは、300ドルのビットコイン身代金を支払ったとしても、被害者にファイルを解読する方法を提供しませんでした。それはウクライナ全体に爆発的に広がり、史上最も破壊的で高くつくサイバー攻撃になりました。それでも、オーストラリア、カナダ、ニュージーランド、イギリス、アメリカの諜報機関の一群がロシア軍を犯人と告発するのに丸8ヶ月かかりました。

借りたツール(Borrowed Tools)

ロシアの偽旗作戦における真の革新は、2018年2月に本格的に始まります。そのとき、GRUはドーピング関連のロシアのアスリートの禁止に対する報復として平昌冬季オリンピックのITバックエンドでサイバー攻撃を開始しました。しかし、研究者はOlympic Destroyerとして知られるマルウェアを分析し始めると、ロシアで使用されていた以前のツールだけでなく、北朝鮮と中国の国家が支援するハッカーにも一致するコードの一部を最初に発見しました — 単なる一つの偽フラグではなく、それらの複雑にするコレクション全体です。「それはリバースエンジニアに対する心理的な戦争でした」と、当時CrowdStrikeのセキュリティ研究者であったSilas Cutlerは、WIREDに語っています。

Olympic Destroyerのフーダニットは、FireEyeとKasperskyのアナリストがマルウェアを仕掛けるフィッシングドキュメントを以前の攻撃で使用された他の悪意のあるファイルのコレクションに結び付けた数週間後に解決されました。これらの初期の標的の多くは、ウクライナ政府機関や活動家のようなロシアのハッキングの典型的な犠牲者でした。さらにFireEyeは、2016年に米国の2つの選挙委員会に違反した同じハッカーが使用するドメインと、マルウェアが混入したドキュメントのC&Cサーバーで使用されるドメインを一致させました—GRUにさらに別のインシデントを結び付けます。

しかし、FireEyeはインフラストラクチャ分析を使用してOlympic Destroyerの謎を解決しましたが、Turla事件はそのレベルの証拠でさえ誤解を招く可能性があることを強調しています。この場合、ロシアではなくイランがTurlaのスパイ作戦の背後にいることを簡単に示すことができたでしょう。「彼らはゲームをアップグレードし続けます」とルイスは言います。

実際、ルイスは、混乱と否認を生み出したことを除き、偽旗攻撃によるロシアの究極の目標は、帰属が本当に不可能であると主張することであると主張しています — 米国の諜報機関あるいは司法省が事件をハッキングした後、クレムリンを公然と非難する時、彼らは単に推測しているに過ぎませんでした。「彼らは告発されることを好まない」と彼は付け加えた。「彼らは対抗的な物語を作りたい『あなたはアメリカ人を信頼することはできません。 見て、彼らはこれを間違った』」

これまでのところ、少なくとも誰もが知る限り、ロシアの偽旗作戦はどれも政府に間違った呼びかけを引き起こすことに最終的に成功していません。しかし、最も悪賢いサイバーセキュリティの偽旗作戦はまだ発見されていない可能性があります。「この種の洗練された活動を見つけることは困難です」と、同社のTurla調査を率いたシマンテックの研究者であるAlexandrea Berningerは言います。「私たちが監視できる以上のことが起こっている可能性があります。」

実際、セキュリティ研究者はすでにこの種の策略に騙されているかもしれません。結局のところ、これは偽旗作戦のポイントの一部です。これらは、あなたが知らないことを知らないと思い出させるだけではありません。 彼らはまた、あなたが信じるものを疑わせようとします。