ソーシャルエンジニアリングは依然としてイランのAPTにとって重要な取引技術
編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
本レポートは、イランのソーシャルエンジニアリングの事例と方法論を取り上げている。 これは、イランのオペレーターによる人員や組織に対する攻撃をよりよく理解し、準備し、先制したいと考えている人々に役立ち、イランのソーシャルエンジニアリングに関連するトピックを調査するイランに焦点を当てたアナリストが、彼らの典型的なターゲット、組織、および目的を理解するのに役立ちます。 ソースには、Microsoft、Proofpoint、ClearSky、FireEye、Mandiant、CitizenLabなどのオープンソースからのRecorded Future® Platformおよび業界レポートが含まれます。
Executive Summary
2010年以降、親イラン政府のサイバー侵入は、スピアフィッシング攻撃を通じて実行されるか、より直接的に1対1の関与を通じて実行されるかにかかわらず、サイバー攻撃のライフサイクルの構成要素としてソーシャルエンジニアリングに依存してきました。 イランのオペレーターは、外国政府、軍隊、企業、反体制派のメンバーを標的にしている。 彼らの作戦は、研究された「影響力の原則」の多くを使用しているようで、人間の知性(HUMINT)の採用慣行と重複しており、どちらもソーシャルエンジニアリングの方法論に影響を与えています。
イラン政府の攻勢と防御の「ソフト戦争」に対する戦略的・戦術的アプローチに関する研究は、ソーシャルエンジニアリングが政府のサイバー能力の不可欠な要素であることを示唆しており、少なくとも10年間はそれに依存してきた。 テヘランは、外国勢力が国内の動乱を扇動する能力を、自国の領土に対する軍事攻撃と同じくらい危険と見なしている。 同様に、国際的に社会不安を煽る能力は、敵と見なした者を攻撃するために自由に使える能力である。 外国の社会、言語、文化、政治システムを理解し、分析することで、テヘランはロシアの脅威活動グループに匹敵する方法でソーシャルエンジニアリングを活用することができた。
大規模なソーシャルエンジニアリングキャンペーンは、主にAPT35、Tortoiseshell、APT34、およびそれらに関連するサブグループによって実行されてきました。 彼らの活動は、他の持続的脅威グループ(APT)が運営する活動を減少させるものではありませんが、これら3つのイラン関連グループは、被害者を標的にする方法においてかなりの重複を示しています。 これには、カリスマ的な靴下人形の使用、将来の雇用機会の誘惑、ジャーナリストによる勧誘、意見を求めるシンクタンクの専門家を装ったものが含まれます。 これらは、2014年にイランのソーシャルエンジニアリングに関する最初の主要な開示であるOperation Newscasterが公に報告されて以来、これら3つのイランAPTが使用し続けてきたペルソナのほんの一部です。
主な判断
- ソーシャルエンジニアリングの使用は、サイバースパイ活動や情報運用に従事する際のイランのAPT工作の中心的な要素です。 イランのAPTは、フィッシング、スプーフィング、スミッシング、その他の被害者を標的にした手法など、その手口を絶えず変更します。
- イランの複数の脅威活動グループがソーシャルエンジニアリングを使用しています。 APT35、APT34、およびTortoiseshellは、侵入や資格情報の盗難操作を支援するために、ソーシャルエンジニアリングを最も早く、最も積極的に採用しています。 これらのグループは、今後もソーシャルエンジニアリングの手法を用いた攻撃を主導し続けることが予想されます。
- イランのソーシャルエンジニアリング攻撃のパターンは、彼らが標的を複数のプラットフォームに誘導することを目指していることを示唆しています。これにより、電子メール、ソーシャルメディア、チャットメッセンジャーを攻撃ベクトルとして組み込むことで、攻撃対象領域が拡大します。 悪意のあるドキュメントやアプリケーションは、ターゲットとの1対1のソックパペットエンゲージメントを通じて拡散され続けます。
- イランによるソーシャルエンジニアリング攻撃は、リクルートのオファー、ジャーナリズムや政治分析のためのターゲットの勧誘、恋愛関係、反政府活動とされるものなど、さまざまなアプローチを共有しています。
- 外国語の使用や、外国の社会や文化に関する知識は、標的型ソーシャルエンジニアリング攻撃において引き続き中心的な役割を果たすでしょう。 イランのAPTは、英語やヨーロッパ、中東、南アジアの主要言語などの主要言語の運用能力を向上させています。
背景
イランのソーシャルエンジニアリングの成長は、イランのハッカーフォーラムにまでさかのぼることができ、その多くには、無防備な被害者を標的にするために必要な手法に関するサブスレッドが含まれています。 最も初期の例としては、ソーシャルエンジニアリングを他のハッキング分野と区別した最初の組織の1つである「Simorghセキュリティチーム」が含まれます。 そのグループのメンバーは、ソーシャルエンジニアは説得力があり、明確で、強力な分析スキルと情報収集スキルを備えていなければならないと主張しました。
親政府派のイランのサイバードクトリンに組み込まれたイランの防御的および攻撃的なサイバー能力の構成要素であるソーシャルエンジニアリングは、「ソフト戦争」(جنگنرم)などの制度化されたイデオロギーにまでさかのぼることができます。 ソフト・ウォーの概念は2010年に 確立 され、イスラム共和国の不安定化と崩壊につながる可能性のある政治的、宗教的、経済的、文化的理想に対抗することを目的としています。 これらの目標は、イランの軍事組織や諜報機関に深く根ざした信頼できる専門家のネットワークによって達成される可能性が高い。
例えば、ケルマーン州のイスラム革命防衛隊(IRGC)の司令官(サルッラー軍団)は、敵の影響と偽情報キャンペーンに対抗する上で、イランの「エリート」を本国に送還する役割を認識し、彼らを「敵の不均衡なソフト戦争と心理作戦[PSYOPS]」に対する闘争の鍵であると宣言した。 この文脈では、エリートとは、海外で教育と雇用の機会を求めるように指示された、政権に近い高学歴のイラン人を指します。
IRGCとその補助部隊であるバシジ、および情報安全保障省(MOIS)は、2010年以降、ソフト戦争に対抗するための現場での役割を固めてきた。彼らは、少なくとも名目上は、バキアタラ・アル・アザム社会文化基地(قرارگاه بقیةالله الاعظم)など、ソフト戦争に特化した複数の作戦基地を設立した。 バキアタッラー基地は現在、IRGCの元司令官であるモハンマド・アリ・ジャファリ将軍が率いており、彼はこの件について2021年11月に、イスラム共和国の敵が破壊を目指しており、「ソフト、文化、メディア戦争」はキネティック戦争よりも戦うのが難しいと主張した。
オープンソース の分析 では、この分野におけるテヘランの戦略的脅威認識を参照しています。 早くも2010年には、イランはソーシャルメディアプラットフォームを「サイバー戦争の脅威の要素...特に、2009年の緑の運動から生じた 体制 に対する自身の脅威に続いて、イラン国内の不和を「掻き立てる」ために噂がオンラインで広まる方法において。 イランは、他の4大敵国(ロシア、中国、そして程度は低いが北朝鮮)とともに、米国政府を含む敵対国に対して、同じ脅威計算を戦略的に活用することが証明されている。
運用面では、イランのソーシャル・エンジニアリングは、モジャヒディーン・ハルク組織(MEK)やイラン国民抵抗評議会(NCRI)のような反革命戦線や、イランが敵と見なしている国々、アメリカ、イギリス、といった国内の敵に対する防衛・攻撃作戦を実行するために、外国語や文化を使用することに重点を置いていることを示している。 イスラエル、サウジアラビア。 政府寄りのオペレーターは、敵対する社会や文化を十分に理解しており、それらを模倣しています。この機能は、成功したかどうかにかかわらず、情報操作、心理作戦、サイバー侵入に現れます。
編集者注: この記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
関連