イラン革命防衛隊長官の死に対するイランのサイバー対応は、報告されたTTPと以前のアクセスを使用する可能性が高い

イラン革命防衛隊長官の死に対するイランのサイバー対応は、報告されたTTPと以前のアクセスを使用する可能性が高い

Recorded FutureのInsikt Group®は、カッセム・スレイマニの殺害に対するイランの反応の可能性を分析するために、入手可能な情報を検討した。 このレポートは、サイバーベースの報復に関与している可能性のある戦術、ツール、およびグループをまとめるのに役立ちます。

この報告書は、特にペルシャ湾での緊張の高まりや、中東の地政学的出来事に続く人々を受けて、イランの国営グループに標的にされることを懸念する組織にとって、最も興味深いものとなるだろう。

Insikt Groupは、これらのインシデントに関する新たな調査結果や、それに関連するサイバー脅威活動が検出され次第、最新情報を提供します。方法の詳細については、これらのリンクを参照してください イランは国家主導のサイバー作戦を管理している そして 国家が支援する愛国的なハッカーの歴史。情報源には、Recorded Future® Platform やその他のオープンな情報源で表面化した情報が含まれます。

Executive Summary

1月3日未明、イランのイスラム革命防衛隊・コッズ軍(IRGC-QF)の司令官であるイランのカセム・スレイマニ氏、人民動員軍(PMF)の副司令官であるイラクのアブ・マフディ・アル・ムハンディス氏、その他数人がイラクのバグダッド国際空港付近で米国のミサイル攻撃で死亡した。特にスレイマニ氏とアル・ムハンディスの死は、イランとその同盟国からの対応を引き起こす可能性が高いと評価しており、これには、中東における米国およびパートナー政府および企業の利益に対して、イランの軍事資産とその同盟民兵が実施する報復的な非対称措置のパターンが含まれる可能性があります。

主な判断

背景

2020年1月2日夜遅く(東部時間)、 報道機関(脅威についての)レポート作成 は、イラクのバグダッド国際 空港付近で米国のミサイル攻撃が発生したことを明らかにした。 この空爆により、イランのイスラム革命防衛隊・コッズ軍(IRGC-QF)のカセム・スレイマニ長官や、人民動員軍(PMF)と呼ばれるイラク民兵組織の副団長アブ・マフディ・アル・ムハンディスを含む数人が死亡した。殺害されたと伝えられている人々の中には、PMFの広報責任者であるモハメド・リダ・ジャブリを含む他の数人のPMFの代表も含まれていた。米国 国防総省の声明とイラン政府 機関の報道により、攻撃が確認され、スレイマニ氏が攻撃の標的となった。

脅威分析

Insikt Groupは、特にスレイマニの死は、イランの軍事資産、代理人、またはその同盟民兵が中東の米国政府や企業の利益、およびサウジアラビアなどの米国の地域パートナーに対して実行する報復的な非対称措置を含む複数のシナリオを含む、イラン政府からの反応を引き起こす可能性が高いと評価しています。 アラブ首長国連邦(UAE)、イスラエル。

この記事の執筆時点で、 Recorded Future 全会一致 対応 イランの 軍事外交政治 の指導者らは報復攻撃が行われるだろうが、そのような声明には、いつ、どのように、どこで起こるかについての具体的な内容は含まれていないが、 対応。 イランの最高指導者アリ・ハメネイ師は2020年1月3日、スレイマニに対する攻撃を主導した人々には「厳しい復讐」が待っていると 宣言 し、戦死した革命防衛隊QF司令官を追悼するために3日間の 全国的な追悼を開始し た。1月5日、イラン最高指導者ホセイン・デガン少将の軍事顧問は、イランの対応は「間違いなく軍事的」であり、米国の「軍事施設」に向けられるだろうと述べた。

報復の必要性を読む

過去数年間、ソレイマニ将軍は、イスラム国(IS)グループによる テロ攻撃 や脅威から国を守る戦略に責任があるという考えもあって、国内で広範な支持を得てきたと 伝え られている。いくつかの 報道 は、ソレイマニ氏の死が報 復の明確な呼びかけにつながったことを示唆しているが、これは極端な暴力行為が政府やイラン軍関係者に影響を与えた場合を除いて、最近のイラン軍史では珍しいことである。その例としては、2017年6月のISによるイラン議会への攻撃や、2017年8月にISによるIRGC将校 モーセン・ホジャジの斬首事件などがある。前者はISに対する弾道ミサイル攻撃につながり、IRGC将校のホジャジはISとの戦いの象徴となった。当時、ソレイマニは多くの革命防衛隊高官の中でも、ホジャジの への対応の先頭に立った。

イランが追求する可能性が高いより計算されたアプローチを示していると私たちが信じている歴史的な例の1つは、ソレイマニの死に対応、1998年のアフガニスタンタリバンによるイラン外交官の殺害です。 1998年、約12人のイラン外交官がアフガニスタン・タリバンによって殺害されたが、その結果、タリバングループに対する国民の抗議が起こり、約 20万人 のイラン軍が動 員 された。ランド社の調査では、 アフガニスタン 危機に対処するためのイラン政府内の現実的な意思決定プロセスが描かれている。イデオロギーの宿敵に軍事的に対抗しようとする革命防衛隊や過激な政治戦線の強硬な利益にもかかわらず、最高指導者ハメネイ師は代わりに「戦争のリスクのない」対応を選択した。同様に、2020年1月5日、ハメネイ師の最高顧問である革命防衛隊将軍ホセイン・デガンは、イランはソレイマニ殺害に 軍事的 に対応するが、戦争は行わないと主張した。

インシクト・グループは、イランがソレイマニ司令官の死による圧力を相殺する必要性とバランスを取りながら、米国との直接的な軍事的関与の可能性をさらに高めることから、慎重な非対称的な対応を追求する可能性が高いと評価している。

最近の非対称報復攻撃の例

イランまたはイランが支援する軍隊が過去に行ったと疑われる報復措置には、以下が含まれますが、これらに限定されません。

イランには、米国、地域のパートナー、および西側の利益に対する対応に関与する可能性のある、非常に有能なコンピューターネットワーク運用チームが多数あります。 Recorded Futureは、スパイ活動から得た以前のアクセスが、これらの報復行動を促進する可能性が非常に高いと考えています。 最も注目すべきは、イランのチームが以前のエスカレーションで破壊的なサイバー能力を使用したことであり、これは同様の状況でそのようなマルウェアを展開する意欲と能力の両方を示していると評価しています。 イランの攻撃者は、Webシェル、パスワードスプレー、カスタムマルウェアとコモディティマルウェアの組み合わせを使用して、ターゲット環境にアクセスすることも知られています。 これまでのサイバー対応シナリオでは破壊的なマルウェアが使用されていたにもかかわらず、米国の空爆によるソレイマニ司令官の死は特異な状況であり、イランがどのサイバー能力を米国のどの地域やパートナーの利益に対して活用する可能性が高いかについて、私たちの評価に大きな不確実性をもたらしています。

2019年6月、Recorded Future米国の産業、重要インフラ、政府エンティティを標的としたAPT33マルウェアの活動を観測しました。これに続いて、6月22日、ドナルド・トランプ米大統領は、ペルシャ湾の緊張が高まる中、政権がイランのミサイルシステムに対してサイバー攻撃を行ったと 述べ た。イランはまた、湾岸で日本の石油タンカーに リンペット機雷 を設置し、地域の緊張を煽ったとして 告発 された。当時、2019年6月、米国サイバーセキュリティ・インフラセキュリティ庁は、ワイパーマルウェアを標的に展開するイラン関連の攻撃者が増加していると報告しました。しかし、NSAの脅威オペレーションセンター技術責任者は、イランの攻撃者は破壊ではなくスパイ活動に焦点を当てた通常の情報収集活動を続けていると 述べ た。

以前のアクセスとツールがサイバーレスポンスを危険にさらす可能性があります

Recorded Futureは、緊張が高まっているこの時期に、イランの脅威アクターが米国の産業、重要インフラ、政府機関を引き続き標的にすると予想しています。 イランの攻撃者は、サイバースパイ目的で米国内の政府、軍隊、および商業組織を引き続き標的にすると評価していますが、ペルシャ湾地域の組織は破壊的なサイバー攻撃のリスクが最も高いと評価しています。 さらに、イランの攻撃者であるAPT33、APT34(別名OilRig)、またはMUDDYWATERも、サイバースパイ活動において中東の米国の同盟国やパートナーを標的にする可能性が高いと判断しています。 カスタムツールとコモディティツールが混在し続けることが予想され、特に疑わしいPowershellとWMICベースの動作を監視することをお勧めします。

APT33、APT34、およびAPT35によって実施された以前の資格情報収集活動は、標的環境への初期アクセスを取得するために使用される可能性があると評価しています。 最近の注目すべきイベントは次のとおりです。

破壊的なマルウェア

APT33 と APT34 は、Shamoon、DEADWOOD、ZeroCleare を使用した石油・ガスセクターに対する破壊的なマルウェア攻撃と関連付けられています。

ナショナリズムと親体制のハクティビズム

イラン政権は、スレイマニ将軍殺害に対する対応を熟考するのに時間を費やす可能性が高いと評価している。これとは対照的に、親政権派の(政府主導ではない)サイバーアクターは、破壊的な活動を継続する可能性が高い。Recorded Futureは、スレイマニ氏の死のニュースが報じられてから数時間以内に、米国政府機関 に対する ものを含め、ハクティビストによる 改ざん 活動が行われていることを認識している。さらに、IRGC支持者の間で偽情報 が拡散 されていることも観察しました。ハクティビスト勢力間のおしゃべりを観察した結果、保護が緩いWebサイト、サーバー、データベースなど、よりソフトなターゲットに対して攻撃がエスカレートする可能性が高いと評価しています。

攻撃者が犯罪行為を装って SamSam ランサムウェアや同様のキャンペーンを展開することは可能性の領域外ではありません。この2人の行為者がイラン政府と提携していたことを示唆する証拠はないが、テヘランは間違いなくこれらの作戦とその手段を認識している。

今後の展望

我々は、イランがカセム・スレイマニ将軍の殺害に対して、スパイ活動や破壊工作の形をとる可能性が高い動的な攻撃ではなく、サイバー攻撃により積極的に対応する可能性があると評価しています。

このサイバー対応は、おそらくいくつかの非対称的な対策の1つと考えられるものですが、イランの諜報機関や軍事グループ、その請負業者、またはその他の代理人によって直接実施される可能性があります。これらの措置は、過去のアクセスやスパイ活動で得られた情報に基づいて行われる可能性が非常に高いです。これらの侵入を特定し、他の日和見的な侵入と区別することは、おそらく難しいでしょう。

さらに、ロシアの国家支援グループがイランのインフラを ハイジャック し、サイバー作戦に 利用 した最近の文書化された事例は、イランのスパイ活動や破壊活動の追跡と帰属にさらなる不確実性をもたらしている。このインフラストラクチャの乗っ取りと不確実性の増大により、インシデントが誤って帰属し、エスカレーションとして誤って解釈される可能性があると評価しています。中東には、米国とそのパートナー、イランとその代理人だけでなく、より多くの利害関係者がいる。イランを装ったロシアの作戦を通じてさらなる不確実性が注入されれば、サイバー侵入を受けて混乱や混乱の雰囲気が漂う可能性がある。これは、ロシアがイランのサイバー作戦インフラを侵害、ハッキングしている程度がわからないため、誤った帰属と誤ったエスカレーションの可能性を高めます。

推奨される軽減策