ロシアの軍事情報機関GRU(参謀本部情報総局)は、長年にわたり、世界で最も積極的に破壊工作、暗殺、サイバー戦争を行う組織の一つとして知られ、暴力的な特殊部隊員と同じ旗印の下で活動することを誇りとするハッカーを擁している。しかし、GRU内に新たに誕生したあるグループは、GRUが物理的戦術とデジタル戦術をこれまで以上に密接に融合させている可能性を示している。それは、毒殺、クーデター未遂、西側諸国における爆破事件など、ロシアで最も悪名高い物理的戦術を遂行した部隊から生まれたハッキングチームである。
米国、英国、ウクライナ、オーストラリア、カナダ、およびヨーロッパ5カ国を含む西側諸国の政府機関の幅広いグループは木曜日、カデット・ブリザード、ブリーディング・ベア、またはグレイスケールとして知られるハッカー集団が、実際にはGRUのユニット29155の一部門であることを明らかにした。この部隊は、大胆な物理的破壊活動や政治的動機による殺人で知られる諜報機関の部門である。例えば、この部隊は過去に、英国でGRU離反者のセルゲイ・スクリパリに対する神経剤ノビチョクによる毒殺未遂事件(この事件では傍観者が死亡)や、ブルガリアでの別の暗殺計画、チェコ共和国での武器庫の爆発、モンテネグロでのクーデター未遂事件などに関与していた。
GRUの悪名高いこの部門は、現在、独自のサイバー戦争オペレーターチームを編成しているようだ。これは、ファンシーベアまたはAPT28として広く知られるユニット26165や、サンドワームとして知られるサイバー攻撃に特化したユニット74455といった他のGRU部隊のオペレーターとは異なる。2022年以降、GRUユニット29155に最近採用されたハッカーたちがサイバー作戦を主導しており、2022年2月のロシアによるウクライナ侵攻前夜に少なくとも24のウクライナ組織を攻撃したデータ破壊型ワイパーマルウェア「ウィスパーゲート」や、フリー・シビリアンと呼ばれる偽の「ハクティビスト」ペルソナを用いたウクライナ政府ウェブサイトの改ざん、情報の窃盗・漏洩などが含まれる。
ブリザード士官候補生がGRUユニット29155の一員と特定されたことは、ハイブリッド戦へのアプローチにおいて、GRUが物理的戦術とサイバー戦術の境界線をさらに曖昧にしていることを示していると、WIREDは匿名を条件に取材した西側諸国の情報機関関係者の一人に語った。彼らは実名を公表する権限がないため、この関係者はこう語った。「特殊部隊は通常、物理的な活動と同じサイバー部隊を編成しません」とある関係者は言う。「これは極めて物理的な作戦行動を重視する部隊であり、GRUが関与するような、より残忍な行為を任務としています。非常に実践的な活動を行うこの部隊が、今やキーボードの向こう側からサイバー関連の業務を行っているとは、非常に驚きです」
カデット・ブリザードとGRU(連邦軍参謀本部情報総局)のユニット29155とのつながりを明らかにした共同声明に加え、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、同グループのハッキング手法とその発見・軽減策を詳述した勧告を発表しました。米国司法省は、同グループのメンバー5名を名指しで起訴しました。いずれも欠席起訴であり、さらに6人目の起訴者も起訴されました。この6人目は、ユニット29155について公に言及することなく、今夏初めに既に起訴されていました。
「GRUのウィスパーゲート作戦は、ウクライナの重要インフラや軍事的価値のない政府システムを標的としており、ロシアが不当な侵略を遂行する中で、無実の民間人を軽視する忌まわしい行為を象徴している」と、米国司法省のマシュー・G・オルセン司法次官は声明で述べた。「本日の起訴状は、司法省があらゆる手段を講じてこの種の悪意あるサイバー活動を阻止し、米国とその同盟国を無差別かつ破壊的に標的とした犯人の責任を追及していくことを強調するものだ。」
米国務省はまた、同グループのメンバーの身元や居場所を突き止める情報とその写真に対し、1000万ドルの報奨金を出すと「正義のための報奨」ウェブサイトに掲載した。
GRUユニット29155のハッカー5人の身元または居場所を特定する情報に対し1000万ドルの報奨金を提示する国務省のポスター。米国務省提供
西側情報機関の関係者はWIREDに対し、このグループはこれまで知られているウクライナに対する作戦に加え、北米、東欧・中欧、中央アジア、ラテンアメリカの幅広い組織を標的にしてきたと語った。標的には運輸・医療セクター、政府機関、そして「エネルギー」インフラを含む「重要インフラ」などが含まれるが、具体的な情報については明らかにしなかった。関係者はWIREDに対し、29155ハッカーがウィスパーゲート事件に類似した、より破壊的なサイバー攻撃の準備を進めているケースもあったと説明したが、実際にそのような攻撃が行われたという確証は得られていないと述べた。
米国国務省は6月、ウィスパーゲート事件を実行したGRUのハッカーが、米国の重要インフラ、特に「エネルギー、政府、航空宇宙部門」においてハッキング可能な脆弱性を探していたことを別途明らかにした。司法省が新たに公開した29155ハッカーに対する起訴状によると、彼らはメリーランド州にある米国政府機関のネットワークを63回にわたって調査したとされている(ただし、調査が成功したかどうかは明らかにされていない)。また、NATO加盟国26カ国以上を対象としたネットワークの脆弱性を探っていたとされている。
西側諸国の情報機関関係者によると、29155ハッカーの目的は多くの場合軍事スパイ活動だったようだ。例えば、中央ヨーロッパのある国では、このグループは鉄道会社に侵入し、ウクライナへの物資輸送列車をスパイしたという。ウクライナ国内でも、ハッカーたちは消費者の監視カメラに侵入し、おそらくウクライナ軍や兵器の動きを把握しようとしたのだろうと彼らは述べている。ウクライナ当局は以前、ロシアがこの戦術をミサイル攻撃の標的として用いていると警告していたが、WIREDの取材に応じた情報機関関係者は、29155の活動が具体的にミサイル攻撃に利用されたという証拠は持っていなかった。
西側情報機関筋によると、GRU第29155部隊のハッキングチームは2020年には既に結成されていたが、近年までは破壊的なサイバー攻撃よりもスパイ活動に主眼を置いていた。サンドワームやファンシーベアといったGRUの既存チームがサイバー戦争とスパイ活動において長年、世界で最も積極的かつ攻撃的な役割を果たしてきたことを考えると、GRU内に新たなハッキンググループを新設することは余計なことに思えるかもしれない。しかし西側情報機関関係者は、第29155部隊が独自の専門ハッキングチームを編成するに至ったのは、GRU内部での競争に加え、作戦の成功(スクリパリ氏暗殺未遂事件も含む)が認識されたことによるグループの影響力の拡大が要因である可能性が高いと述べている。「スクリパリ氏毒殺事件で彼らは大きな注目と権限を得た」とある関係者は述べている。 「その結果、彼らはサイバー部隊を立ち上げる能力を引きつけるための資金とリソースを大幅に増やすことができた可能性が高いと我々は評価しています。西側諸国とロシアでは成功の尺度が異なります。」
WIREDの取材に応じた西側諸国の情報当局者によると、29155ハッキンググループはわずか10人ほどで構成されており、全員が比較的若いGRU職員だ。GRU入隊前には、ハッカー会議でよく行われるハッキングシミュレーション競技「キャプチャー・ザ・フラッグ」に参加しており、そこからスカウトされた可能性もある。しかし、この小規模なグループは、場合によってはロシアのサイバー犯罪者ハッカーと提携し、リソースを拡大しているほか、市販のサイバー犯罪マルウェアを使用しているケースもあると当局者は述べている。これにより、ロシア政府による犯行の特定が困難になっている。
こうした犯罪的共謀の一例としては、ロシア人ハッカーのアミン・ティモビッチ・スティガル氏との共謀が挙げられる。スティガル氏は、キャデット・ブリザードによるウクライナ政府へのウィスパーゲート攻撃を支援したとして、6月に米国で欠席起訴された。米国務省はスティガル氏の逮捕につながる情報提供に対し、1,000万ドルの報奨金を出した。
犯罪ハッカーへの依存に加え、カデット・ブリザードの技術レベルを示す他の兆候も、情報当局が小規模で比較的若いチームと表現している点に合致するようだ、とあるセキュリティ研究者は語る。この研究者は、同グループを綿密に追跡しているが、調査結果について話すことを雇用主から許可されていないため、匿名を条件に話した。この研究者によると、標的のネットワークに最初にアクセスするために、ハッカーらは主に少数の既知のソフトウェア脆弱性を悪用し、いわゆるゼロデイ脆弱性(これまで知られていなかったハッキング可能な欠陥)は一切使用しなかったという。「おそらく実践経験は多くないのでしょう。彼らは非常に一般的な操作手順に従っているだけです」とこの研究者は語る。「彼らは、自分が選んだ分野で最も効果を発揮するその日のエクスプロイトを見つけ出し、それを使い続けたのです。」このグループの洗練されていない点を示すもう一つの例として、ハッキングされたウクライナのウェブサイトに投稿された改ざん画像に含まれていたウクライナの地図には、ロシアが2014年以来自国の領土であると主張しているクリミア半島が含まれていた。
高度な技術に加え、研究者は、29155のハッカーたちが、ウクライナやその他の東欧企業にサービスを提供するITプロバイダーに侵入し、被害者のシステムやデータにアクセスすることで、標的を侵害したケースもあると指摘している。「彼らは正面玄関を蹴破るのではなく、正当な信頼できるチャネルやネットワークへの信頼できる経路に紛れ込もうとしている」と研究者は述べている。
セキュリティ研究者はまた、他のGRU部隊のハッカーとは異なり、カデット・ブリザードはGRUの他の部隊とは別の専用の建物に収容されていたようだと指摘している。これは、彼らが所属する29155部隊との関連性を解明しにくくするためだったのかもしれない。グループの指揮系統や犯罪組織との連携と合わせると、GRUのサイバー戦争へのアプローチに新たなモデルが生まれることを示唆している。
「この作戦は、これまでのものとは全く異なっていました」と研究者は語る。「これは、ロシア連邦の今後の動向を決定づける大きな一歩となるでしょう。」
2024年9月6日午後3時5分更新:この記事は、セルゲイ・スクリパリ氏毒殺未遂事件で、2人ではなく1人の傍観者が死亡したことを反映するように更新されました。
