ロシア連邦軍参謀本部情報総局(GRU)傘下のハッキング部隊「サンドワーム」は長年にわたり、綿密に維持された匿名性のベールの背後から、史上最悪のサイバー攻撃(ブラックアウト、偽ランサムウェア、データ破壊ワームなど)を実行してきた。しかし、この諜報機関による5年間にわたる作戦の失敗、偽装工作の失敗、そして国際的な訴追を経て、今日、この極めて破壊的なハッキング集団を率いる男の仮面を剥ぐと、見慣れた顔が現れるのも不思議ではないだろう。
エフゲニー・セレブリアコフが2018年にオランダに入国する際に使用したパスポート。
写真:司法省GRUのハッキング部隊の中でも悪名高いサンドワームの指揮官は、匿名を条件にWIREDに語った西側情報機関の情報筋によると、現在エフゲニー・セレブリアコフという名の職員である。この名前に聞き覚えがあるとすれば、それはセレブリアコフが他の6人のGRU工作員と共に、2018年にオランダでハーグの化学兵器禁止機関(OPC)を標的とした近距離サイバースパイ活動に関与していたとして起訴されたためかもしれない。
この失敗に終わった作戦で、オランダの法執行機関はセレブリアコフとそのチームを特定し逮捕しただけでなく、ファンシー・ベアまたはAPT28として一般的に知られるGRUの別の部隊に所属していた。さらに、技術機器が詰まったセレブリアコフのバックパック、そしてチームのレンタカーにあったノートパソコンやその他のハッキング機器も押収した。その結果、オランダと米国の捜査官は、セレブリアコフの長年にわたる渡航歴や過去の作戦をつなぎ合わせることに成功し、彼の新たな役割を踏まえ、GRUの幹部として台頭する彼の経歴を異例のほど詳細に把握することができた。
諜報機関筋によると、セレブリアコフはAPT28の副司令官を務めた後、2022年春にサンドワームの責任者に任命され、現在は大佐の階級に就いている。オープンソース情報機関ベリングキャットのロシア担当主任調査員、クリスト・グロゼフ氏もセレブリアコフの台頭に注目している。グロゼフ氏によると、2020年頃、セレブリアコフはGRUの将軍たちから電話を受けるようになったという。GRUの厳格な階層構造では、将軍たちは高官としか話さない。電話データはロシアの闇市場から入手したというグロゼフ氏は、防諜活動に特化した別の強力な軍事部隊の電話記録にもGRUエージェントの番号が記載されているのを見たという。「彼は指揮官の立場にあるに違いないと思った」とグロゼフ氏は語る。「もはやただのハッカーではないはずだ」
セレブリアコフは、失敗に終わったオランダ作戦で以前に特定され起訴されていたにもかかわらず、その地位に就いたように見えるという事実は、彼がGRUにとって大きな価値を持っていることを示唆しており、「どうやら捨てるにはあまりにも優秀すぎる」とグロゼフ氏は付け加えた。
セレブリャコフ氏がサンドワーム(正式名称はGRU第74455部隊、別名ブードゥー・ベア、イリジウム)を率いるという新たな立場は、おそらく世界で最も多作なサイバー戦争の実践者であるハッカー集団の指揮を執ることになる。(彼らはスパイ活動や偽情報作戦にも手を染めている。)2015年以来、サンドワームはロシア政府によるウクライナに対する前例のないサイバー攻撃作戦を主導してきた。ウクライナ西部とキエフの電力会社に侵入し、ハッカーが引き起こした史上初および2度目の停電を引き起こしたほか、ウクライナの政府機関、銀行、メディアを標的に無数のデータ破壊マルウェア攻撃を仕掛けた。2017年には、サンドワームがNotPetyaという自己複製型マルウェアをリリースし、世界中のネットワークに拡散して記録的な100億ドルの損害を与えた。サンドワームはその後、2018年に韓国で行われた冬季オリンピックを妨害し、2019年にはジョージアのテレビ放送局を攻撃するなど、無謀なハッキングの衝撃的な記録を残した。
1年前のロシアによるウクライナへの全面侵攻を受けて、GRU(ロシア連邦軍参謀本部情報総局)で最も攻撃的なハッキング部隊(現在はセレブリアコフの指揮下)は、ウクライナへの攻撃に再び重点を置いた。モスクワ郊外ヒムキの高層ビルに本部を置く部隊は、データ破壊マルウェアの新たな攻撃を仕掛け、3度目の通信遮断を試み(ウクライナ政府はこれを阻止したとしている)、さらに「プレステージ」と呼ばれる偽のランサムウェア攻撃でウクライナとポーランドの組織を攻撃した。
サンドワーム以前のセレブリャコフのハッキング活動も、同様に大胆不敵だった。米検察によると、2018年にオランダで他のGRUエージェント6名と共に逮捕された際、彼のバックパックにはWi-Fiパイナップルが入っていた。これは本ほどの大きさのデバイスで、Wi-Fiネットワークを偽装し、被害者を本来のWi-Fiホットスポットではなくそのデバイスに接続させ、中間者攻撃を実行して被害者のトラフィックを傍受または改ざんする。セレブリャコフのチームはまた、化学兵器禁止機関の建物の外にレンタカーを駐車し、トランクにWi-Fiハッキング用のアンテナを隠していた。チームは、GRUによる離反者セルゲイ・スクリパリ氏暗殺未遂事件でロシアがノビチョク神経剤を使用したことを捜査していたOPCW職員を標的にしていた可能性が高い。
セレブリアコフは2016年リオデジャネイロ夏季オリンピックでロシア選手とポーズをとっている。
写真:司法省捜査官が押収したWi-Fiハッキング機器を調べたところ、過去に接続していたWi-Fiネットワークの長いリストが見つかりました。これは、セレブリアコフ氏とその同僚が過去のハッキング活動を行うために移動した経路をほぼ網羅していました。ハッカーたちは、2016年リオデジャネイロ夏季オリンピックの関係者(パフォーマンス向上薬の使用により100人以上のロシア選手が出場停止処分を受けていた)や、スイスのローザンヌで開催された陸上競技におけるアンチ・ドーピング対策に関する会議の参加者を標的にしていたようです。
2018年以降、オランダ当局がセレブリアコフとその仲間のスパイたちを刑事告発、あるいはハッキング罪で起訴される可能性のある米国への身柄引き渡しではなく釈放するという決定は、依然として論争の的となっている。諜報機関に関係する元オランダ政府関係者はWIREDに対し、この決定は、スパイたちがオランダ法に違反したという確証がなかったことに加え、GRU工作員が投獄された場合にモスクワから報復を受けるという外交上の懸念が一部にあったと述べている。「外務省と国防省の間でかなりの議論がありました」と元関係者は語る。「最終的には外務大臣が決定することであり、彼らはモスクワにいるオランダ外交官のことを心配していたのです」
現在サンドワームの指揮を執っている人物が、大々的に暴露されたオランダでの作戦で特定されていた人物であるという事実は、セレブリアコフがGRUにとってどれほど貴重な存在であるかを示しているのかもしれない。情報機関筋によると、彼はセキュリティ研究コミュニティとの良好なコネと高い技術力を持つとみなされている。GRUのオランダでのミッションの大失敗については、情報機関筋は、ハッカー自身ではなく、彼とAPT28の同僚を護衛していたエージェントのせいだとしている。また場合によっては、GRUにとって起訴はエージェントの大胆さとリスクテイクの評判を高めるだけだ。「クレムリンにとっては、『すごい、君は話題を呼び、神話を築き、我々がテクノロジー侵入者だという評判を高めた、よくやった』となるかもしれない」と、米国国家安全保障局(NSA)とホワイトハウス国家安全保障会議(NSC)の元職員で、現在はカーネギー国際平和財団の研究員を務めるギャビン・ワイルドは言う。
しかし、セレブリャコフの再登場は、国家が支援する注目度の高いハッキング作戦において、中心人物となる人物が比較的少数であることも示していると、サイバーセキュリティ企業マンディアントの脅威情報責任者、ジョン・ハルトキスト氏は指摘する。ハルトキスト氏はサンドワームを最初に発見し命名した研究グループの一員であり、長年にわたりこの部隊を綿密に追跡してきた。「彼は悪名高い近接アクセス作戦の人物であり、その後、我々がよく知る別の組織のリーダーとして姿を現したのです」とハルトキスト氏は述べ、「近接アクセス」という言葉は、セレブリャコフがオランダで行っている近距離Wi-Fiハッキング戦術を指して用いている。「ある程度、我々が監視しようとしている世界がいかに狭いかを示しています」
「同じ人物が何度も現れます。しかも、実際にキーボードを打つ人物です」とハルトクイスト氏は付け加える。「これは、この分野に携わる人材の数が限られていることを物語っています。私たちは依然として、敵を深く知るほどの才能を持つ人材が限られているような世界に生きているのです。」
2023 年 3 月 22 日午前 10 時 (EST) に更新され、2018 年にオランダ政府が GRU エージェントを釈放することを決定したことに関する詳細情報が追加されました。
