WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
GRUとして知られるロシア軍機関は、2016年の米国大統領選挙を標的としたハッカーとして初めて脚光を浴びて以来、クレムリンの最も大胆なデジタル活動の多くを担う存在としてますます知られるようになってきた。2015年12月にハッカーが引き起こした史上初の停電(ウクライナ国民25万人への電力供給停止)から、100億ドルの被害をもたらしたワーム「NotPetya」まで、あらゆる攻撃に関与している。
近年、セキュリティ研究者たちは、このグループと他のより謎めいた事件との明確な関連性を示す証拠群(一部は未公開のまま)を発見した。これらの事件には、2016年の米国2州選挙管理委員会への侵入、2018年冬季オリンピックへのサイバー攻撃、そして2017年のフランス大統領選挙へのハッキングなどが含まれる。実際、これらの痕跡は、GRUだけでなく、サンドワームとして知られるGRU内のハッカー集団にも関連している。
「このグループは、ロシアの活動の中でも、おそらく最も攻撃的な行動をとっています」と、セキュリティ企業FireEyeの情報分析ディレクター、ジョン・ハルトキスト氏は語る。同氏のチームは2014年秋にサンドワームを発見し、命名した。「その行動は、選挙への干渉から電力網への技術的妨害まで、多岐にわたります。これほど多くの大胆な行為を試みるだけでなく、実際に実行に移したと主張できるグループは他に思い浮かびません」
私は過去3年間、サンドワームによる攻撃のエスカレーションを追跡し、先週出版された書籍『サンドワーム』でその経緯をまとめてきました。その取材過程において、FireEyeやESETといった企業のセキュリティ研究者らが、サンドワームによるハッキング事件を、単一の、繋がりのある、そして進化を続ける一連の活動へと結びつける重要なフォレンジック分析結果を共有してくれました。
フレンチ・コネクション
2017年5月初旬のフランス大統領選挙直前、フランス大統領選候補エマニュエル・マクロン氏の選挙陣営から9ギガバイトに及ぶメールが流出した事件で、ロシアのGRU(軍参謀本部情報総局)が関与したと長年疑われてきた。これは、米国で民主党全国委員会とクリントン陣営に対して同様の攻撃を行ってからほぼ1年後のことだった。今回、セキュリティ企業FireEyeが発表した新たなデータポイントは、この攻撃がサンドワーム、特にフランス選挙のわずか1か月後にウクライナを襲い、世界中に拡散したマルウェア「NotPetya」に直接関連していることを示すものだ。
この関連性は、サイバーセキュリティ企業ESETが2016年に初めて発見したハッキングツールに端を発しています。これはVisual Basic Scripting言語で書かれたバックドアプログラムで、Sandwormがウクライナへのデータ破壊攻撃で使用したものです。翌年、ESETは、同じVBSツールがウクライナの金融セクターの被害者のネットワークにインストールされていることを発見しました。このツールは、数日前にNotPetyaの感染を可能にした、ウクライナの会計ソフトウェアMEDocの乗っ取られたアップデートと同じものを使用して設置されていました。ESETは後に、このVBSバックドアを、Sandworm(ESETはTelebotsと呼んでいます)がNotPetyaの原因であることを示す重要な証拠として挙げました。
2018年5月、FireEyeはこのVBSバックドア、特にSandwormが通信に使用していたと思われるブルガリア拠点のコマンド&コントロールサーバーを詳しく調査しました。奇妙なことに、このサーバーは匿名ネットワークTorの「リレー」サーバーでもあり、Torネットワーク内で暗号化された接続を世界中に中継するボランティアコンピューターの1つとして機能していました。今回のケースでは、ハッカーたちはTorリレーのトリックを用いて、コマンド&コントロールサーバーからその管理に使用していたコンピューターへの接続を隠蔽していたようです。
未発表の FireEye レポートにある接続図。オリンピックから米国およびフランスの選挙、NotPetya (FireEye では EternalPetya と呼んでいる) まで、あらゆるものを標的とする Sandworm の関与を示している。
FireEye提供FireEyeのアナリスト、マイケル・マトニス氏は、ブルガリアのTorリレーの設定に異常な点があることに気づいたと述べた。ハッカーにその詳細を知られてしまうことを恐れ、マトニス氏は詳細の開示を控えた。しかし、この情報により、FireEyeは2017年に同一人物または同一グループによって設置されたと思われる20個のTorノード群を発見することができた。
マトニスは、インターネットの電話帳とも言えるDNSレコードを調べ始め、TorノードのIPアドレスでホストされているドメインを調べ、それらのドメインをGoogleで検索して他の接続先を探した。最初に目にしたドメインの一つ(明らかにGoogleを装ったフィッシングリンク)を検索したところ、示唆に富む結果が得られた。それは、マクロン陣営に侵入したハッカーが盗み出し、漏洩したメールの1つに含まれていたのだ。
GRUはマクロン陣営のメールをリークしようと急ぐあまり、標的に自ら送信したフィッシングリンクを削除することすら怠っていたようだ。盗まれた大量のメールの中にそのフィッシングリンクを漏洩したことで、サンドワームが後にNotPetya攻撃で利用することとなるのと同じインフラからフランス選挙を標的にしていたという証拠が露呈した。
オリンピック破壊者、有権者名簿盗み見者
FireEye 社は、歴史上最も不可解なサイバー攻撃の 1 つである、2018 年 2 月に平昌冬季オリンピックの IT ネットワーク内に放出され、開会式の真っ最中にオリンピックの Wi-Fi、アプリ、チケット販売サービスを停止させたデータ消去マルウェアの真相を解明するために、同様の手法を採用しました。
サイバー戦争の脅威が将来に迫っている。それは、国境を飛び越え、戦線の何千マイルも離れた民間人に戦争の混乱をテレポートさせる可能性のある、紛争の新たな側面である。
攻撃の出所が北朝鮮または中国に見せかけるコードスニペットが幾重にも重ねられていたにもかかわらず、FireEyeはオリンピック攻撃で使用されたフィッシング文書を、マルウェアリポジトリであるVirusTotal内の他のフィッシング文書コレクションと照合することに成功した。このグループ内の感染した添付ファイルはすべて、同じ公開ツール「Malicious Macro Generator」によって作成されており、ファイルのメタデータにも共通のユーザー名が含まれていた。コレクション内の他の文書は、LGBT活動家を含むウクライナ人や、GRU離脱者のセルゲイ・スクリパリ氏に対する化学兵器攻撃を調査していたスイスのシュピーツ研究所を標的としているように見え、どちらもロシアのハッカーが攻撃の背後にいたことを強く示唆している。コレクション内の他の文書は、より不可解なことに、ロシアのオリガルヒを標的としているようだった。
FireEye がオリンピック・デストロイヤー攻撃に関連付けたウクライナを標的とした文書の 1 つ。ウクライナの国章も含まれている。
FireEye提供しかし、FireEyeのアナリスト、マトニス氏は最終的に、さらに決定的な証拠を発見した。彼は、フィッシング文書の1つで使用されていたコマンド&コントロールサーバーを、FBIが以前に米国2州選挙管理委員会へのフィッシング攻撃に使用されたと特定していたドメインに接続したのだ。2018年7月、ロバート・モラー特別検察官は、米国選挙への干渉の罪でGRUハッカー12人を起訴し、GRUユニット74455のメンバー、アナトリー・セルゲイエヴィッチ・コヴァリョフを選挙管理委員会へのハッキングに特に関与させた。
3つのハッキングキャンペーン(NotPetya攻撃(ウクライナの会計ソフトウェアMEDocのアップデートを乗っ取った)、Olympic Destroyerマルウェアに関連するフィッシングキャンペーン、そして過去数年間のSandworm侵入)で使用されたホスティングプロバイダーとサーバー特性の類似性を示すグラフ。これらを総合すると、3つのキャンペーンすべてがSandwormによるものである可能性が高いことが示唆されます。
この論理的連鎖は、GRU第74455部隊が米国の選挙を標的とした攻撃だけでなく、2018年オリンピック攻撃にも関与していることを示唆している。実際、オリンピックへのサイバー攻撃は、ロシアがドーピングにより2018年オリンピックから追放されたことへの報復行為だった可能性が高い。そして、つながりはさらに深く、マトニスは、オリンピックのハッカーが使用したコマンドアンドコントロールサーバーの多くが、以前のサンドワーム攻撃で使用されたものと同じ2社、Global LayerとFortunixによってホストされていることを確認した。これらのサーバーの一部は、NotPetyaとフランスの選挙のつながりの場合と同様に、Torリレーとしても動作していた。これらすべてから、オリンピック攻撃はロシアやGRUの第74455部隊だけでなく、NotPetyaやウクライナの停電の原因となったGRUハッカーの同じサンドワームグループによって実行されたことが示唆される。
バックドアとブラックアウト
Sandwormの初期の攻撃を結びつける、より広範なフォレンジックリンクは、何年も遡ります。2014年から2015年にかけて、このグループは、ウクライナのメディア企業のデータを破壊した攻撃から、ウクライナの民間人に初めて引き起こした停電まで、多くの侵入行為において、同じBlackEnergyマルウェアのバージョンを巧みに利用しました。
そして昨年、ESETは顧客ネットワークへの侵入でExaramelと呼ばれるバックドアを発見し、Sandwormによるものと結論付けました。ハッカーたちはCredraptorと呼ばれるカスタム認証情報窃取ツールも使用していましたが、ESETはこれまでSandwormのみが使用していたことを確認していました。ESETはこの発見の重要性を指摘しました。Exaramelのコードは、2016年末にウクライナの国営電力会社への侵入にも見られ、ウクライナで2度目の停電(今回は首都キエフ)を引き起こしました。ESETは、これは最初のハッカーによる停電と同様に、2度目のハッカーによる停電にもSandwormが関与していたことを裏付けるものだと主張しています。
「パズルのピースを組み立てるようなもので、これらの出来事が関連しているという確信を高める証拠の断片を積み重ねていくようなものです」と、ESETの研究者であるロバート・リポフスキー氏は語る。リポフスキー氏によると、組み立てられたピースによって浮かび上がるのは、他に類を見ないほど攻撃的なハッカー集団だという。「彼らは本当に影響力を重視する。妨害工作と混乱を仕掛けるのだ」
FireEyeのハルトクイスト氏は、単一の極めて危険なハッキンググループの存在は単なる好奇心以上のものだと語る。これは警告となるだけでなく、Sandwormの痕跡が潜在的な標的のネットワークに現れた場合の重要な情報源となるはずだ。「私たちが話しているのは、これらすべての凶悪な行為を実行した単一のアクターです」とハルトクイスト氏は語る。「もしこのアクターが事件を引き起こしたとしたら、それは非常に危険な状況に陥っているということです。」
記事内の販売リンクから商品をご購入いただくと、少額のアフィリエイト報酬が発生する場合があります。仕組みについて詳しくはこちらをご覧ください。
WIREDのその他の素晴らしい記事
- アマゾンに挑戦した移民たち
- Disney+、スター・ウォーズ、そして常に変化する正典
- 競走馬の安全を守るために最適化されたダート
- 在宅勤務の人へのプレゼントアイデア15選
- ウィキペディアの操り人形の穴に突き落とされる
- 👁 より安全にデータを保護する方法。さらに、AIに関する最新ニュースもチェックしてください。
- 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう
