アシヤネの歴史:イラン初の安全保障フォーラム
Scope Note: Recorded Future conducted research on the evolution of Ashiyane Forum, the first and largest security forum in Iran. Sources of this research include the Recorded FutureⓇ Platform, direct forum interaction, open source research, and interviews with a former Iranian hacker who claims firsthand knowledge of Iran’s security forums.
このレポートは、急速に変化するイランからのサイバー脅威や国家主導のサイバー脅威を理解し、組織の保護を強化したいと考えている組織にとって、最も興味深いものとなるでしょう。
Executive Summary
前回のレポートで、Insikt Groupは、イラン政府、攻撃的なサイバー作戦に使用される請負業者、およびイランのセキュリティフォーラムから始まる信頼コミュニティとの関係を文書化しました。本報告書は、イランの主要な安全保障フォーラムであるアシヤネ・フォーラムとイラン政府との歴史的なつながりをさらに探究する。 Recorded Futureは、20,000人を超えるAshiyane Forumメンバーのフォーラム投稿を観察し、2018年8月のAshiyane Forumの閉鎖後、イランのハッカーの移動の傾向を発見しました。
主な判断
アシヤネ・フォーラムは、かつてイランの主要な安全保障フォーラムであったが、イランのイスラム革命防衛隊(IRGC)とのつながりが知られているイランの主要な治安請負業者の1つによって管理されていたが、2018年8月以降、再出現の兆候もなく閉鎖されている。
私たちは、Ashiyane Forumとその生みの親であるAshiyane Digital Security Teamが、イランの請負業者が才能を特定し、成功した攻撃ツールや戦術に関する情報を共有するための主要な情報源であったと評価しています。
アシヤネ・デジタル・セキュリティ・チームの創設者であるベールーズ・カマリアンは、イラン政府と深いつながりがあり、短期間の刑務所生活を経て、現在、新たなビジネスの構築を試みています。
背景
Recorded Futureは以前、 2015年6月 と 2018年5月にイラン・イスラム共和国のサイバー能力について報告し、同国のサイバー能力、地域覇権をめぐるサウジアラビアとの戦い、そして両回ともサウジアラビアに対する攻撃作戦を実施する意欲について説明した。 少なくとも2009年以降、イランは攻撃的なサイバー作戦を実施することで、 地域の挑発 と 国際的な制裁 の両方に対して定期的に対応してきた。 このような攻撃の主な標的は、サウジアラビア、イスラエル、西側の組織、そしてアジアの 石油化学会社や航空会社 だ。 これらの攻撃の巧妙化は 、ソーシャルメディアの乗っ取りやウェブサイトの改ざん から、 サウジアラムコ への攻撃のような非常に破壊的なキャンペーンや、欧米、中東、アジアの標的に対する 高度なスパイ活動まで 多岐にわたります。
Recorded Futureは、イランの国家支援事業の多くが請負業者を利用しており、イラン政府の請負業者は、優れたサイバー人材を見つけて維持するために、閉鎖的な信頼コミュニティを掘り起こすことを余儀なくされていると 以前に報告 しています。 以下は、イランのオンラインセキュリティコミュニティの起源と成熟、そしてその歴史においてAshiyane Forumが果たした役割についての説明です。
2002年、Insikt Groupの情報筋によると、イランの若者たちは、情報を共有するためにハッカーのウェブフォーラムやIRC(Internet Relay Chat channels(オンラインクラブ))を作っていたという。 これらのフォーラム内での多くの活動には、メンバーが仲間の間での名声のためにライバルのハッカーWebサイトを改ざんすることが含まれていました。 初期のフォーラムには、simorgh-ev.com と ashiyane.com が含まれていました。 これらのフォーラムを運営する目的は、金銭的な利益ではありませんでした。 それどころか、フォーラムのメンバーは、攻撃的な手口を交換したり、面白半分に改ざんを行ったりしていました。 しかし、2年も経たないうちに、イランのウェブサイトの改ざんには、イデオロギー的、宗教的な意味合いを持つメッセージが含まれ始めた。 Insikt Groupの情報筋によると、2007年末にかけて、ワッハーブ派(サウジアラビアの支配的な信仰)に合わせたサウジアラビアのフォーラムとイランのフォーラムとの間で、小規模で短いオンライン小競り合いが勃発した。
イラン政府はこれらの改ざんに注目し始め、サイバー活動を正式なプロパガンダに変換し、イランの若者がシーア派の主張を取り上げました。 Insikt Groupの情報筋によると、悪評には「イランの擁護者」というレッテルのようなものがあり、イランのハッカーは外国のウェブサイトの改ざんに参加する新たな動機を持っていたという。
複数のデータポイントが、イランの安全保障フォーラムが、イランの請負業者の人員配置と知識共有に役割を果たしていることを示唆している。 例えば、Insikt Groupの情報筋は、イランのSimorghフォーラムの管理者は、サイバー作戦に関与するイラン軍の一部門であるイスラム革命防衛隊(IRGC)と家族的なつながりを持っていたと主張している。 最も疑わしいのは、APT33マルウェアXman_1365_xに見つかったハンドルが、イランで最大かつ最も有名なハッキングフォーラムであるAshiyane Forumのアクティブメンバーとしても発見されたことです。 このフォーラムは、IRGCの作戦とのつながりが証明されているイランの警備請負業者によって管理されています。 アシヤネ・フォーラムとその名前の由来となった請負業者であるAPT33と関係のあるフォーラム・メンバーとのつながり、および請負業者とイラン政府とのつながりに基づいて、アシヤネ・フォーラムがイランの国営請負業者に人員配置と知識交換を提供したと中程度の確信度で評価する。
芦屋根フォーラムの歴史と創設者
アーカイブされたWebページのデータに基づくと、芦屋根フォーラムは当初、2003年初頭に芦屋根デジタルセキュリティチームの元のWebサイトである ashiyane.com の一部として始まりました。 このフォーラムは、 2006年に独自のウェブサイト「ashiyane.org」に拡大しました。 Ashiyane.org には、一般的な質問、ツールの共有、改ざん、トレーニングセッション、ニュースのセクションが含まれていました。 これらの元のセクションの多くは、フォーラムが拡大し、イランで最大のハッキングフォーラムの1つになったときに存続しました。 2018年8月、芦屋根フォーラムは閉鎖されました。
2006年の芦屋根のバナー。
「イラン初の安全保障フォーラム」と謳うアシヤネ・フォーラムの横断幕。
Ashiyane Forumは、「グレーハット」 ネットワークセキュリティ会社であるAshiyane Digital Security Teamによって運営されていました。 2002年に設立されたAshiyane Digital Security Teamの当初の目標は、コンピュータネットワークの脆弱性を見つけることにより、イランのユーザーとネットワーク管理者にセキュリティについて教育することでした。 2014年には、タイとインドの政府機関に属する改ざんされたWebサイトや、イタリアのIPでホストされているWebサイトで、Ashiyane Digital Security Teamのハンドルが見つかりました。
アシヤネ・デジタル・セキュリティ・チームは、モサドやNASAを含むイスラエルと米国の政府機関に属する 何百ものウェブサイト を攻撃してきたが、これは彼らが アヤトラ・ホメイニ師に対する敬意を欠いているからだとされている。 スンニ派のアラブ人ハッカーが、イランのほとんどのシーア派宗教ウェブサイトをホストしている主要なサーバーをダウンさせたとき、アシヤネフォーラムは、ハッカーが所有する主要なサーバーのうち5つを攻撃して 、300のアラビア語のウェブサイト をダウンさせることで対応しました。 司法省とその他の業界関係者は、IRGCを代表して業務に関与したAshiyane Digital Security Teamのメンバーを特定しました。
「イランのハッキングの父」として知られるBehrooz Kamalianは、Ashiyane Digital Security TeamのCEO兼創設者です。 Behroozは、若いハッカーと知識を共有する意欲でイラン人の間で 高く評価され ています。 Behroozは、多くのイランの 俳優 や 女優 の間でも人気があり、特に以前に侵害されたアカウントの制御を取り戻すのに役立ったと主張する。 アシヤネ・デジタル・セキュリティ・チームがイランの国家支援の取り組みに関与している可能性について尋ねられたとき、ベルーズは、アシヤネ・フォーラムが独立して自発的に活動している一方で、イランの軍事組織と協力してセキュリティの助言と改善を行い、「常に国家の目標の枠組みの中で活動してきた」と主張した。
Behrooz KamalianさんのInstagramプロフィール。
アシヤネフォーラムの最も悪名高いウェブの改ざんは、歴史的なイランとサウジアラビアの紛争を中心に展開しています。 2008年後半、サウジアラビアのワッハーブ派グループがイランのウェブ改ざんに対して報復としてイランのサイトを改ざんしていたとき、ベールーズ・カマリアンは著名な聖職者アヤトラ・ナセル・マカレム・シラジを訪問した。 その会議の後、聖職者は、ワッハーブ派のウェブサイトへのさらなる攻撃を止めるために、イランのハッキンググループに対して公に自制を求めた。 しかし、汚損は止まりませんでした。zone-h.org には前後の追悼が行われたが、 ウェブサイトの改ざんを記録するウェブサイト。 2008年10月9 日、Delta Security(Ashiyane Forumのスピンオフ)は、 イランのサイトを改ざんする長い自己記録 を持つ俳優であるbAd Hack3rによって 侵害 されました。
Insikt Groupの情報筋によると、ある特定の作戦で、Wahhabiの攻撃者は、侵害されたAshiyane Forumの電子メールサーバーから、バックドアバージョンの Putty (Windows用の無料のリモート接続アプリケーション)を使用してスピアフィッシングキャンペーンを展開したと主張しています。 ワッハーブ派グループとされるXP-Groupは、特にイランの聖職者サイトを標的にし、下品な画像で汚し始めた。 その後、 XPグループのWebサイトは 報復として改ざんされました。 外部のオブザーバーにとっては、どちらが最初にエスカレートしたかを見極めるのは困難でした。 芦屋根フォーラムのメンバーは、Insikt Groupの情報筋に、KamalianがXP-Groupを設立し、ドメインを所有していると語った。 これが本当なら、XP-Groupはワッハーブ派になりすましていたが、カマリアンが所有し、運営していたことになる。 芦屋根フォーラムとXP-Groupは本質的に同じものであり、カマリアンは彼自身の宗教的な動機によるサイバー紛争を作り出した。 Recorded Futureは、これらのクレームの二次的な検証を確認できていません。
2009年、政府は 、イランの緑の運動に対応して、すべてのイランのハッキングサイトをブラックリストに載せるよう指示を出し、その間に khamenei.com のようなイラン政府のサイトが攻撃されました。 Ashiyane Forumは、唯一残ったハッキングフォーラムの一つであり、Insikt Groupの情報筋によると、イランのハッキングコミュニティは、Kamalianが基本的にイラン政府と単独の情報源契約を結んだと推測している。 アシヤネフォーラムは、新世代のイランのハッカーとつながる主要なフォーラムになっていた。
緑の運動のピーク後、政府が後援する攻撃的なサイバーキャンペーンは混乱しました。 2010 年、 Stuxnet ワーム はイランのウラン濃縮工場を攻撃することに成功し、IRGC は Ayatollah Khamenei の直属として、迅速で攻撃的なサイバー能力の必要性を認識しました。 国家の利益に同調する主要なハッキンググループとして、BehroozとAshiyane Forumは 支援するのに適した立場にありました。 芦屋根デジタルセキュリティチームの1人のメンバーは、2011年12月に IRGCが主導する米国の金融機関に対する分散型サービス拒否(DDoS)キャンペーン に参加し、176日間にわたって行われました。 さらに、カマリアンのIRGCでの地位は、2011年に EUの制裁リストに 載った後、さらに強固になった。
脅威分析:芦屋根フォーラムコンテンツ
アシヤネフォーラムは、イランの国家サイバー部隊に明確に協力したセキュリティ企業が主催する数少ないイランのハッキングフォーラムの1つとして、累積約20,000人のアクティブユーザーを集めました。 Recorded Futureは、過去12年間の芦屋根フォーラムのスレッドを収集し分析することで、フォーラム内の一般的な傾向を判断しました。 芦屋根フォーラムに投稿されたコンテンツの大部分は、Webの悪用に焦点を当てていました。 フォーラムの開始以来、クロスサイトスクリプティング、DDoS攻撃、SQL、およびその他のブラウザベースのコードインジェクションが主なテーマでした。 さらに、Androidエクスプロイトは、2014年1月の総デバイス市場シェアの26.72%から2015年4月には37.85%に、この地域内のモバイルデバイスの数が 着実に増加 したためか、過去4年間一貫して人気のあるトピックでした。
AndroRATの展開を支援するよう依頼するAshiyane Forumの投稿。 (出典:Recorded Future)
2015年に宣伝された上位のツールには、AndroRATやDendroid RATなどのAndroidリモートアクセストロイの木馬(RAT)やCitroni Ransomwareが含まれていました。 2016 年、フォーラムのコンテンツは、家電製品や Android デバイスのエクスプロイト、およびインターネット プロトコルのエクスプロイトに移行しました。 AndroidマルウェアのDroidJack、PCのトロイの木馬njRAT、USBマルウェアのPoisonTapが人気を博し、DDoS攻撃やSQLインジェクション攻撃に関する質問も出されました。 2017年には、2015年と2016年に議論されたものと同様のテーマが人気を博しましたが、多くの投稿はLinux製品とエンタープライズコンテンツ管理、およびAndroidデバイスを中心に展開していました。 Ashiyane Forumはイラン国内で最も有名なハッキングフォーラムの1つであったため、これらの投稿は、フォーラムに登録し、新しいWebブラウザやテクノロジーの単純なWeb脆弱性について同様の質問をする、経験の浅い新しいメンバーが一貫していることを示している可能性があります。
芦屋根フォーラムのサイバートレンドのビジュアルは、近年のトップ3でご覧いただけます。
Insikt Group believes that Ashiyane Forum also had its fair share of experienced hackers as forum veterans, shown by the speed at which new, highly sophisticated vulnerabilities were shared among forum members. For example, a proof of concept for CVE-2015-0313, an Adobe Flash use-after-free (UAF) vulnerability, as well as a similar post for CVE-2015-0311, an Adobe Flash remote code execution (RCE) vulnerability, were shared only months after the vulnerabilities were recorded on NVD. Furthermore, when CIA hacking tool OutlawCountry was released on WikiLeaks on June 29, 2017, Ashiyane Forum members were sharing and discussing the tool only five days later.
2015年から芦屋根フォーラムに広告を出しています。 (出典:Recorded Future)
アシヤネ・フォーラムの閉鎖とイラン・ハッカーの移住
2018年3月12日、アシヤネ・デジタル・セキュリティ・チームの公式チャンネルは、イランの裁判所が追って通知があるまですべての活動を停止するよう命じたと発表しました。 この発表では、閉鎖が行われた理由については何も述べられていないが、イランの情報筋は、アシヤネ・フォーラムがギャンブルサイトを運営しており、終身刑や死刑などの罰則があるため危険であることを確認した。 芦屋根フォーラムは、2013年に芦屋根フォーラムのデータベースの一部がオンラインに流出した際に、ギャンブルと関連づけられていました。 Insikt Groupの情報筋によると、Ashiyane Forumのデータベースサポートに使用されたユーザー名は、「persianpoker」という名称でイランで運営されている複数のポーカーサイトの作成に関連していました。
2013年のAshiyane ForumのダンプのPastebinは、persianpoker[.]アジア。
Recorded Futureのデータによると、芦屋根フォーラムは2018年8月5日にオフラインになりました。 フォーラムのメンバーは、サイトがハッキングされたか、強制的に閉鎖されたという噂を広めました。 2018年10月31日、イランのホスティングスペシャリストがツイートしました。 ベールーズがいない今、誰が責任者になるのかわかりません」 Insikt Groupの情報源と、2018年4月中旬から7月にかけてのAshiyane Forumへの投稿によると、ベールーズは逮捕されたとされている。 しかし、ベールーズは11月初旬に刑務所から出所し、2018年11月8日、彼は インスタグラムの動画を投稿 し、イランの俳優が、アカウントが侵害された後に彼のインスタグラムアカウントへのアクセスを取り戻したことに対して、ベールーズに感謝した。 インスタグラムのユーザーは、アシヤネ・フォーラムの閉鎖について尋ねるベローズの最近の投稿にコメントを残しているが、Recorded Futureはベールーズがそれらの投稿に関与しているのを観察していない。
オンラインポーカーは、儲かると同時に危険な企業でもあります。 Insikt Groupの情報筋によると、イラン国内には3,000以上のギャンブルウェブサイトがあり、それらは短命で、毎日ブロックされています。 Insikt Groupは、統計自体に関する二次的な検証を見つけることができませんでしたが、Insikt Groupは、イランまたはイスラム国でギャンブル事業を行うことは、その厳しい罰則のために危険な行為であることを確認できます。 終身刑や死刑を受ける代わりに、ベールーズはわずか数ヶ月で刑務所を出ることができたが、それはおそらくイラン政府やIRGCとの既存の関係によるものだろう。 もしそうだとすれば、Behroozの寛大な判決は、国内のハッカーコミュニティにおける彼の役割がイラン政府にとって非常に重要であることを示唆しているのかもしれない。 しかし、Ashiyane Forumはオフラインのままで、Behroozはソーシャルメディアで有名人を支援するハッカーとして自分自身を再ブランド化しました。 Behroozが将来、Ashiyane Digital Security TeamとForumの再構築を試みるという証拠はありません。
芦屋根デジタルセキュリティチームの閉鎖に対するTwitterの反応。
芦屋根フォーラムメンバー移住活動
イランのハッキングコミュニティ内で最大かつ最も著名なフォーラムの1つであるAshiyane Forumの閉鎖により、ハッカーは同じ話題の議論や交流を提供する新しいコミュニティを探すか、人気は低いものの、すでに確立されている他のフォーラムにますます依存するようになる可能性があります。
Recorded Futureは、2014年から2018年にかけて20,000人以上の芦屋根フォーラムメンバーからの投稿をレビューしました。 Ashiyane Forumが閉鎖される前に活動していた18,060人のユーザーのうち、他のペルシャ語、アラビア語、ロシア語、英語のフォーラムと完全に一致する名前を持っていたのはわずか4%だった。 これらの完全一致のうち、特に際立っていたのは、VBIran.ir とPersian Toolsフォーラムの2つです。 下のグラフは、他のフォーラムでのAshiyane Forumのユーザー名の完全一致の数を、最初の投稿日で区切って示しています。 Recorded Futureは、ユーザー名の大部分が2018年3月のAshiyane Digital Security Teamチャンネル閉鎖の発表前(発表からフォーラムの閉鎖までの期間)に作成されたのか、それとも2018年8月5日のAshiyane Forumの閉鎖後に作成されたのかを確認しようと試みました。
Ashiyane Forumのメンバーシップが重複するフォーラム。 (出典:Recorded Future)
Ashiyane Forumのユーザー名は237件一致しており、VBIran.ir 全体で最も多くの共通ユーザーを抱えており、ほとんどのユーザーはAshiyane Forumの閉鎖が発表される前に VBIran.ir フォーラムに投稿していました。 一方、Persian Toolsフォーラムは、Ashiyane Forumの発表前に共通のユーザー名を持っていませんでした - 85人のユーザー全員がシャットダウン期間中または終了後に登録しました。 CyberForum.ru には芦屋根フォーラムのユーザー名の一致も多数ありましたが、一致の大部分は一般的に使用されるユーザー名による誤検知でした。
Recorded Futureは、誤検知の可能性を排除し、共通のエンティティを探した結果、Ashiyane Forumのメンバーと完全に一致するユーザー名は、VBIran.ir の総メンバーシップの約7%を占めており、メンバーの14人に1人が元Ashiyane Forumのメンバーであると結論付けました。 Ashiyane Forumのユーザー名との完全一致も、Persian Toolsフォーラムの全会員数に占める割合は、2018年3月の0%から3.5%に増加しました。 興味深いことに、2つのフォーラム間でAshiyane Forumのユーザー名にはほとんど重複がなく、Ashiyane Forumが閉鎖された後、他のフォーラムに移行したハッカーが2つの派閥に分かれたことを示唆しています。
芦屋根フォーラムの移行の可能性に関するメンバーシップの内訳。 (出典:Recorded Future)
VBIran.ir とペルシャのツールフォーラム
これらのフォーラムはどちらも芦屋根フォーラムの会員の約10分の1ですが、芦屋根フォーラム自体といくつかの類似点があります。 どちらのフォーラムにも、Ashiyane Forumと同様に、主にペルシア語の投稿が含まれており、攻撃的な戦術的な議論を行うためのかなり大きなフォーラムを提供しています。 ただし、Persian Toolsフォーラムと VBIran.ir は、内容と焦点の点で大きく異なります。 Persian Toolsフォーラムのほとんどの投稿は、販売投稿またはイラン、ハッキング、電子機器、さらにはサッカーに関連する投稿です。 Persian Toolsフォーラムのフォーラム組織も、Ashiyane ForumがAshiyane Digital Security TeamのWebサイトから分離される前のAshiyane Forumの組織と似ているようです。
Persian ToolsフォーラムのWebサイトには、さまざまな形式のハッキングに関するサブセクションが存在しますが、Persian Toolsフォーラムでは、SSL証明書の販売、ホスティングサービス、さらにはWebサイトのデザインも提供しています。 VBIran.ir また、より一般的な視聴者にも対応しているように見えます。 VBIran.ir 投稿は主にディスカッションまたはチュートリアルに基づいており、ハッキングとソフトウェア開発の両方に関するトピックに対応しています。 さらに、VBIran.ir はPersian Toolsフォーラムのような特別なサービスを提供しておらず、代わりにさまざまなWeb開発プラグインを販売しています。 これが、芦屋根フォーラムのメンバー間で重複が少なかった理由として考えられる。
今後の展望
アシヤネ・デジタル・セキュリティ・チームは、イランのハッキング・コミュニティ内で最大かつ最も著名なフォーラムの1つの管理者として、アシヤネ・フォーラムの閉鎖の理由を発表しておらず、その復活の可能性についての質問を無視している。 フォーラムは無期限にオフラインになる可能性があります。 芦屋根フォーラムに代わる明確なものはないようですが、小規模なフォーラムが新しいメンバーを引き付けています。
私たちは、イランでビジネス関係を持つ企業、サウジアラビアで事業を行っている企業、およびエネルギーまたは国防機関は、これらの新しいフォーラムの進化を監視する必要があると評価しています。 これまでアシヤネ・フォーラムを主要なコミュニティとして頼っていたイランの請負業者は、引き続き代替案を探すことになるだろう。
また、ベールーズ・カマリアンは、イラン政府内での彼の関係と、イランの主要なハッカーの一人としての評判から、前述の組織を監視する価値のある人物であると評価しています。
関連ニュース&研究