Dark Covenant 2.0 : サイバー犯罪、ロシア国家、ウクライナ紛争

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートでは、ロシアのウクライナ戦争の文脈において、ロシア連邦、サイバー犯罪者、ロシアおよび東欧の自称ハクティビストとの間の暗黙のつながりを調査しています。 これは、2021年のレポート「闇の契約:ロシア国家と犯罪者とのつながり」で提示された調査結果の直接の続きです。 このレポートは、脅威研究者だけでなく、法執行機関、政府、防衛組織にとっても興味深いものとなるでしょう。

Executive Summary

2022年2月24日以降、ロシアのウクライナ戦争を受けて、ロシアのサイバー犯罪の脅威の状況は大きく変化しました。 この戦争は、サイバー犯罪者の地下組織に混乱をもたらし、独立国家共同体(CIS)諸国の脅威アクターを二極化させました。 一部のサイバー犯罪グループはロシア政府への忠誠を宣言しましたが、他のサイバー犯罪グループは、和解できないイデオロギーの違いを理由に分裂したり、非政治的なままで、地政学的な不安定性を利用して金銭的利益を得ることを選択したりしました。 一部のグループは完全に消滅しました。 戦争の間接的な影響として、アンダーグラウンド市場の混乱、ハクティビストやランサムウェアの標的化、金融詐欺の急増など、ロシアのサイバー犯罪エコシステムに影響を与える現象が発生していると考えられています。

これらの変化を通じて、サイバー犯罪者の脅威グループがロシア政府に対して直接的、間接的、暗黙的な役割で重要な 役割 を担い続けているというのが、ほぼ変わらないことです。 クレムリンに忠誠を誓ったサイバー犯罪グループにとって、暗黙のつながりは深まりました。 ロシアのサイバー犯罪者や自称ハクティビストは、ウクライナの企業やインフラ、およびウクライナへの支援を宣言した国に所在する組織を標的とした作戦に積極的に関与しています。 Recorded Futureは、ロシアを支援する金銭的利益とエゴ主導の宣伝のために、米国、英国、北大西洋条約機構(NATO)、日本などを標的にしたロシア語およびロシア語を話す脅威アクターを観察しています。

Figure 1: Conti Gang statement dated February 25, 2022, in which the group allies itself with the Russian government (Source: Conti.News)

Contiのようなサイバー犯罪組織はロシア政府への忠誠を公然と宣言しており、一流のロシア語フォーラムで公開されているDarkCrystal RAT、Colibri Loader、WarZoneRATなどのコモディティマルウェアは、ウクライナのエンティティを標的にするためにAPT(Advanced Persistent Threat)グループによって使用されています。 私たちは、戦争前と戦争開始直後のサイバー犯罪活動を特定しており、それらはロシア国家の仕業であると考えています。 KillnetやXaknetのようなロシア語を話す自称「ハクティビスト」グループは、恐怖を煽ったり、ウクライナへの支援を減らしたりすることを意図していると思われるロシアの国営メディアによって可能にされた、西側の組織や団体に対する情報操作(IO)にほぼ確実に積極的に関与しています。 また、ペイメントカード詐欺の増加、データベースの漏洩、ダークウェブマーケットプレイスの閉鎖など、ウクライナでの戦争を支援したロシア企業を狙った経済、外交、法執行活動の結果と思われる他の現象も特定しています。

主な判断

• ロシアの諜報機関、軍、法執行機関は、サイバー犯罪の脅威アクターと長年にわたって暗黙のうちに理解している可能性が依然として高いです。場合によっては、これらの機関が間接的な協力または採用を通じて、サイバー犯罪の脅威アクターと確立された体系的な関係を維持していることがほぼ確実です。
• ロシアのウクライナ戦争に関連するサイバー犯罪者やハクティビストの活動に関する私たちの理解に基づくと、サイバー犯罪の脅威アクターはロシア国家と協力して、ロシアの攻撃的なサイバーおよび情報作戦を調整または増幅している可能性があります。
• ロシアのサイバー犯罪グループ、ツール、戦術、技術、手順(TTP)は、ロシアのウクライナ戦争に関与した国家が支援する脅威アクターにもっともらしい否認を提供するのに役立つ可能性があります。 地政学的な不安定性に乗じて金銭的な動機を持つ脅威アクターも、偶然であれ意図的であれ、ロシア国家の利益を支援・扇動している可能性があります。
• 戦争に先立って、ロシアの法執行機関がダークウェブや特別アクセスの情報源を押収したことは、ロシア国家による誠意の表れであり、サイバー犯罪を阻止する意思と能力を示しているように見えた。 しかし、これらの執行措置は、サイバー犯罪者とロシア国家との協力関係の疑惑を弱体化させ、さらにもっともらしい否認を可能にすることを意図していた可能性が高いと考えています。
• ロシアのウクライナ戦争の結果、いくつかのサイバー犯罪産業が変革を遂げました。 これには、マルウェア・アズ・ア・サービス(MaaS)とランサムウェア・アズ・ア・サービス(RaaS)の脅威環境の変化、ロシアの決済カード詐欺の増加、サイバー犯罪者を標的にした変化、インフラストラクチャとホスティングの変化などが含まれます。

方法論

このレポートは、ロシア語を話すサイバー犯罪者が頻繁にアクセスするダークウェブ、特別アクセス、ソーシャルメディアの情報源の監視や関与から収集された情報など、オープンな情報源と人的情報源から得られた情報を統合したものです。 私たちは、いくつかの英語のフォーラムを調べて、ダークウェブ全体でロシア語を話すサイバー犯罪者によって操作されている疑いのある連絡先とリンクのモニカを相互参照しました。 また、Telegram、Tox、Jabber(XMPP)などのオープンソースおよびクローズドソースのメッセージングプラットフォームやソーシャルメディアからも情報を収集しました。

ランサムウェアの恐喝、チャット、支払いに関する Web サイトに関するコレクションは、さまざまなランサムウェア グループとロシア国家をつなぐのに役立ちました。 2022年2月24日のロシアによるウクライナ侵攻前後のランサムウェアの被害者について、定性的・定量的手法を用いて調査し、動機やイデオロギーについて理論化しました。 このレポートは、Recorded Future Platform®を使用して調査結果を視覚化し、ロシアのウクライナ戦争の文脈における地政学的出来事、サイバー犯罪者と脅威アクターグループ、Advanced Persistent Threat(APT)、およびロシア国家の間のつながりを描き出すことに大きく依存しています。

また、学術出版物、業界のホワイトペーパー、会議でのプレゼンテーションなど、他の形態のOSINT研究にも大きく依存して、HUMINTコレクションプロセスのギャップを埋めています。 このレポートでは、以前のオープンソースレポートと、2021年の ダークコヴナント の元のレポートを、調査の背景と正当性として使用しています。 このレポートは、2022年2月24日から2022年8月24日にかけて調査・執筆されました。

Figure 2: Timeline of events between the cybercriminal ecosystem, self-described hacktivist entities, and state-sponsored groups during the conflict in Ukraine (Source: Recorded Future)

背景

「ダーク・コヴェナント」

2021年、私たちは、ロシアのサイバー犯罪世界における個人の確立された分散型ネットワークと、ロシアの法執行機関や諜報機関(通称シロビキ)の職員がどのようにつながっているか を詳しく説明し ました。 この報告書は、このエコシステムの関係が、順応性のある協会で構成される暗黙の、しかし理解された合意を前提としていることが多いことを詳述しています。 この調査は、過去の活動、公の起訴、ランサムウェア攻撃に基づいています。 全体として、レポートは、ロシアのサイバー犯罪環境とシロビキの関連性を、直接的な関連性、間接的なつながり、暗黙の合意の3つの主要なカテゴリに分類しました。

• 直接的な関係は、国家機関と犯罪的な地下事業者との間の正確なつながりによって識別されます。その一例が、サイバー犯罪者として働いた後に採用されたロシア連邦保安庁(FSB)の少佐であるドミトリー・ドクチャエフです。
• 間接的な提携は、直接的なつながりを確立できないが、ロシア政府がその利益のために資源や人員を使用しているという明確な兆候がある場合に発生します。この例は、ロシア政府が軍事紛争中の「愛国的なハッカー」による スパイ活動 やDDoS攻撃にGameOver Zeusボットネットを使用している可能性が高いことです。
• 暗黙の合意とは、ロシアの国家的利益または戦略的目標に利益をもたらす、標的やタイミングを含むサイバー犯罪活動の重複として定義されます。そのような活動は、国家との直接的または間接的なつながりなしに行われるが、そのような活動が行われるときに見て見ぬふりをするクレムリンによって許可されている。

2021年のレポートでは、サイバー犯罪者とシロビキとの関わりは当面の間ほぼ確実に続き、これらの連想や活動は、両グループ間のより妥当な否認可能性と、より明白で直接的なつながりを少なくするように適応する可能性が高いと評価しました。

最初のレポート以来、ロシア政府がウクライナに侵攻し、軍事力とサイバー能力に関連するロシアの能力と欠点についての理解が明らかになりました。 たとえば、サイバー犯罪者グループContiとTrickbot(Wizard Spider)に関する一連のリークは、これらのグループと国家の関係について前例のない外観を提供しました。 この紛争は、愛国的な利益に動機付けられたとされる親ロシア攻撃を行う自称ハクティビストを生み出しました。しかし、場合によっては、そのようなグループがロシア政府にもっともらしい否認を提供している 可能性があります 。

ロシアのウクライナ侵攻

2022年2月のロシアのウクライナ侵攻は、ヨーロッパでより広範な人道危機をもたらし、国際的な緊張を高めました。 多くの親ロシア派の脅威アクターグループや、サイバー犯罪者のエコシステム内からこれまで見られなかったいくつかのエンティティが、ロシアが物理、情報、サイバーの領域で実施した紛争に参加しています。 この戦争では、すでに大規模な分散型サービス拒否攻撃(DDoS)、Webサイトの改ざん、フィッシングやスパムキャンペーン、マルウェアの展開、政府と民間部門の両方の多数のウクライナのエンティティに対するワイパー攻撃が発生しています。

サイバー戦争におけるロシアのサイバー犯罪

2019年12月12日に発表された Meduza の報告書によると、ロシアの諜報機関が高度なスキルを持つコンピュータープログラマー、ネットワーク専門家、その他の技術に精通した人材を採用したのは、少なくとも1990年代にさかのぼる。 このレポートでは、FSBの職員が、ハッカーが一定の成功を収めるとすぐに、ハッカーが採用の標的になることを示唆していると引用されています:「[FSBの職員の]言葉を借りれば、『謙虚なバックグラウンドを持つ最初の高等専門学校の学生がモスクワの街頭にフェラーリを持ち出す』とすぐに、FSBのエージェントは採用を開始しました。

ダニール・トゥロフスキーは、2019年の 著書 「Intrusion: A Brief History of Russian Hackers」の中で、犯罪的な地下組織とロシアの諜報機関との関連について説明した匿名のロシア人ハッカーの言葉を引用している。 ハッカーによると、ロシア連邦保安庁(CIB FSB)の情報セキュリティセンターは技術スタッフが限られていたため、外部の専門家を招き入れることが多かったため、一部のハッカーを隠れ家に隠すほどだったと伝えられています。

ロシアの調査ジャーナリストで、クレムリンのオンライン活動に関する本「The Red Web」の共著者であるアンドレイ・ソルダトフ氏は、サイバー作戦をさまざまなグループにアウトソーシングするというロシア政府の戦術は、距離を置くのに役立ち(最終的には否認を可能にする)、ハッカーが暴走するリスクに対して脆弱になる と述べた 。

外交政策におけるロシアのサイバー犯罪

In September 2021, around the time we released our initial Dark Covenant report, we identified a shift in calculus following recent high-profile ransomware attacks and subsequent intergovernmental consultations between the US and Russia. At the time, high-profile ransomware attacks against Colonial Pipeline, JBS, and Kaseya led the US to increase pressure on the Russian government to take action against the cybercriminal groups behind this activity. Around this time, the administrators of 2 major Russian-language forums, Exploit and XSS, quickly banned ransomware topics on their criminal underground platforms, likely as a result of the increased pressure. However, ransomware activities persist in the form of “initial access” and “data leak” brokerage services. Moreover, the DarkSide, REvil, and Avaddon ransomware families halted extortionist activities right before or days after the first meeting between US president Joe Biden and Russian president Vladimir Putin on June 16, 2021, in Geneva, Switzerland. This pause was only temporary, as ransomware attacks continued in 2022, including attacks affecting critical infrastructure targets in the energy sector and transportation entities in Europe (1, 2, 3).