WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
過去5年ほど、ロシアの国家支援を受けたハッカー集団は、世界で最も活発で、攻撃的で、破壊的なオンライン攻撃集団として頭角を現してきました。選挙への介入、電力網の停電、巧妙で新しいスパイ活動の手法の開発、オリンピックへのハッキング、そして史上最悪の破壊力を持つワームの拡散など、その多さに比べれば、中国のサイバースパイでさえ、おとなしい事務員にしか見えないほどです。そして今、2つのサイバーセキュリティ企業が、こうしたデジタル世界の混沌を整理するための新たな視覚的分類法を作成しました。そして、この分類法によって、クレムリンのハッカー集団における個々のプレイヤーの明確化が促進されたのかもしれません。
イスラエルの2社、チェック・ポイントとインテザーは本日、ロシア政府が支援するハッキング活動に関連があるとされてきたコードの広範な分析結果を発表しました。両社はマルウェアデータベース「VirusTotal」から2,500件のサンプルを抽出し、インテザーの自動ツールを用いてコードの一致や類似性を探しました。オープンソースコンポーネントの再利用といった誤検知は除外されました。その結果、ロシア政府が支援する既知のハッキンググループのツールキットを網羅した、いわば星座図が作成され、独立したグループである可能性が高いクラスターが示されました。「これまで情報は非常に散在していました。今回初めて、ロシアのAPTに関するワンストップショップが誕生しました」と、チェック・ポイントのサイバーリサーチ責任者であるヤニフ・バルマス氏は述べました。バルマスとは、高度な国家ハッカーを指す業界用語で、「Advanced Persistent Threat(高度持続的脅威)」の頭文字をとったものです。「これを見ていただければ、すべてが分かります。」
ロシアのハッカーグループにおけるコードベースのつながりを示すこの地図のインタラクティブバージョンを見るには、こちらをクリックしてください。スクリーンショット:Check Point Research/Intezer
地図上で最も大きく繋がったノード群は、よく知られたロシアのハッカー集団が使用する、密接に連携したツール群を示している。ウクライナの電力網への停電攻撃で悪名を馳せたサンドワーム(別名テレボット、ブラックエナジー)から、コマンドアンドコントロール接続を無防備な衛星にバウンスさせるなどのトリックで研究者を驚かせたTurlaスパイチームまで、様々なハッカー集団が利用している。(場合によっては、コードの重複とは関係のない報告(共有インフラなど)に基づいて、異なるコードサンプルが地図上のグループに帰属していることが分かっても、これは重要ではない。ただし、こうしたリンクは地図のキーに記録されており、繋がったドットには記録されていない。)
この地図は、ロシアのハッキングチーム間の予想外の、あるいは少なくともあまり知られていないコードのつながりもいくつか示している。例えば、BlackEnergyの背後にいるサンドワームグループは、ある事例で、シマンテックが2017年に米国の電力網への侵入に関与したグループとして名指ししたEnergetic BearまたはDragonflyとして知られる別のグループとコードを共有していたことが示されている。ただし、Check PointとIntezerは、マカフィーが最初に発見した一致するコードは、実際の共同作業ではなく、公開されている情報源から入手した可能性があると認めている。民主党全国委員会とクリントン陣営への攻撃で最もよく知られているFancy Bearハッカーが使用するX-Agentと呼ばれるツールは、ウクライナやその他の旧ソ連圏近隣諸国に対する諜報活動で知られるPotaoと呼ばれる別のスパイグループと一部のコードを共有していた。さらに注目すべきは、この地図が、BlackEnergyと、Cozy BearまたはAPT29として知られるグループのマルウェアの両方が、LdPinchと呼ばれる認証情報窃取ツールから取得したコードを使用していたことを示していることだ。ブラックエナジーはロシアの軍事情報機関GRU(参謀本部情報総局)の関与が疑われ、コージーベアはロシア対外情報機関SVR(ロシア対外情報局)との関連が指摘されていることを考えると、これは意外なことかもしれない。両機関は独立して活動し、時にはライバル関係にあることでも知られている。例えば、2016年には両機関がそれぞれDNC(民主党全国委員会)のネットワークに侵入していたことが発覚した。
しかし、バルマス氏によると、こうした繋がりよりも重要なのは、ロシアのハッカーたちのコード群の間に、比較的繋がりが薄い点かもしれない。これは、複数のロシアのチームが、バックドアや管理ツールからペイロードに至るまで、ツールキット全体を、表面的な連携なしに構築していることを示唆している。そして、この断絶は、クレムリンのハッキング活動がいかに広範囲に及んでいるかを示している、と彼は言う。「繋がりがないことは興味深い点だと思います」とバルマス氏は付け加える。「すべてをゼロから再構築するには、膨大な時間、労力、そしてリソースが必要です。少なくとも私にとっては、これはロシアがサイバー攻撃に投入する意思のある膨大なリソースを示しています。」
これらの独特な活動は、ロシアの情報機関間の悪名高い熾烈な競争を暗示しています。クレムリンの支持を得るために、情報窃取、妨害工作、破壊工作といった大胆な行為において、情報機関はしばしば互いに競い合います。結局のところ、各国は、それを使用する意図がなければ、高度なカスタムメイドのマルウェアを大量に構築することはないのです。
WIREDのその他の素晴らしい記事
- 残忍な殺人、ウェアラブルな目撃者、そしてあり得ない容疑者
- 解毒薬は奇跡を約束するが、まず死ななければ
- 人工知能は「再現性」の危機に直面
- エプスタインのような裕福な寄付者がどのように科学を弱体化させるのか
- あらゆるライドに最適な電動自転車
- 👁 機械はどのように学習するのか?さらに、人工知能に関する最新ニュースも読んでみましょう
- 🏃🏽♀️ 健康になるための最高のツールをお探しですか?ギアチームが選んだ最高のフィットネストラッカー、ランニングギア(シューズとソックスを含む)、最高のヘッドフォンをご覧ください。
