先週、Flashpointなどの情報筋によってロシアと連携し、イスラム主義ハクティビスト集団を装った脅威アクターとして特定されたAnonymous Sudanが、別の西側諸国の金融機関を攻撃した。今回は、親ロシア派のDoSハッカー集団Killnet、そしておそらくロシアを拠点とするランサムウェア・アズ・ア・サービス(RaaS)REvilと共謀して攻撃を行ったと報じられている。6月19日の欧州投資銀行への攻撃は、ウクライナの戦争支援資金のパイプラインを阻止することを狙った一斉攻撃だった可能性があるが、脅威グループの動機については依然として憶測の域を出ないと専門家は指摘している。
これらの脅威グループと、ロシア語圏の恐喝ランサムウェアグループ「Clop」による2023年の最新の分散型サービス拒否攻撃は、Microsoft、米国エネルギー省、その他多くの組織に対する攻撃に続くもので、標的セクターは拡大の一途を辿っています。これら3つの脅威アクターと新たなボットネット提供者グループを追跡してきた人々は、EIBとその子会社である欧州投資基金への攻撃は、2022年にロシアの金融機関が参加を禁止された国際銀行間金融通信協会(SICE)の反発を招いたと報告しています。
Flashpointのブログでも報じられているように、Clopは先週、データリークサイトで、MOVEitマネージドファイル転送ソフトウェアの重大な脆弱性を悪用して攻撃した64の組織(米国政府機関を含む)のリストを公開しました。この脆弱性により、脅威アクターは認証なしでMOVEit Transferのデータベースにアクセスでき、SQL操作を用いてデータベース内のエントリを変更または削除できるようになります。
参照:ランサムウェアは巨額の利益を生み出す ― LockBitの例を見ればわかる(TechRepublic)
報道によると、3月の24時間の間に、クロップグループはシェル・グローバル、ボンバルディア・アビエーション、スタンフォード大学などの高等教育機関を攻撃したという。
WithSecureのサイバー脅威インテリジェンス責任者、ティム・ウェスト氏は、クロップ氏が政府データは削除され、保持も共有もされないと述べたと述べた。「これはほぼ間違いなく、『熊を刺激する』ようなことは避け、管轄当局による措置を招くようなラインを下回らないようにするための措置だろう。ただし、彼らの言葉だけで十分な効果が得られるとは考えにくい」とウェスト氏は述べた。
ジャンプ先:
- 匿名のスーダンは脚光を浴びようとしている
- 一部は政治、大部分は金
- Miraiのミラーリング:ボットネットの増加
- 脅威が増大するにつれ、訓練の必要性が高まっている
匿名のスーダンは脚光を浴びようとしている
フラッシュポイントは、2023年1月から活動しているアノニマス・スーダンが、スウェーデン、オランダ、デンマーク、オーストラリア、フランス、イスラエル、ドイツ、UAE、米国、イランの組織に対してDDoS攻撃を仕掛けてきたと指摘した。同グループの攻撃は、金融サービス、航空、教育、医療、ソフトウェア、政府機関を標的としている。
フィンランドに拠点を置くセキュリティおよび脅威インテリジェンス企業WithSecureは、Anonymous Sudanがフィンランド国内の標的に加え、デンマークの病院、フランスの空港、病院、学校を攻撃したと指摘した。同社は2023年5月の報告書で、この脅威アクターがスカンジナビア航空を捕らえ、攻撃停止と引き換えに300万ドルの身代金を要求し、運輸部門、特に複数の小規模航空会社や鉄道会社を標的にし始めたと指摘した。
一部は政治、大部分は金
ウェスト氏は、キルネット、アノニマス・スーダン、REvil、および同種の脅威グループが、内部で強力な連携を築いているか、ロシアへの忠誠心のみによって動機づけられているという考えを疑ってかかると述べた。
「彼らが皆『連携している』という点には反論したい。現実には微妙な部分があるという点には同意するだろう。概ね、『ハクティビスト』集団としてロシアと連携している可能性はあるものの、それぞれが金銭的な動機を持っているのは確かだ」と彼は述べ、キルネットは客観的に見て例外であり、ロシア当局との連携を示す評価もあると付け加えた。
いずれにせよ、こうしたグループは政治的な思惑は曖昧かもしれないが、金銭的な目的は明確だと彼は主張した。匿名のスーダンによるスカンジナビア航空への身代金攻撃は、彼らが愛国心と同じくらい、少なくとも金銭的な利益を動機としていることを雄弁に物語っている。
「逸話的に、彼らは輸送や旅行もより頻繁に狙っている」とウェスト氏は述べ、SWIFTネットワーク内の欧州金融機関への攻撃は、不可抗力を利用して政治的な声明を出すのと同じくらい、自らに騒ぎと注目を集めさせることが目的である可能性があると付け加えた。
「SWIFTは銀行間決済システムであり、世界中の多くの銀行がSWIFTが世界中で取り扱う膨大な金額に大きく依存しています。そのため、長らくサイバー犯罪者の標的となってきましたが、その標的は難しく、排除するのは非常に困難です。Anonymous Sudanの事例は、金融エコシステムにおける比較的大手企業に対して、騒動と宣伝効果を狙って大げさな主張をしようとしているように思います」とウェスト氏は述べた。
Miraiのミラーリング:ボットネットの増加
WithSecure は、ボットネットが脅威の攻撃者にとって好まれる攻撃ベクトルになりつつあると述べ、Killnet の分派グループが Mirai ボットネットの亜種を展開したことを指摘した。
実際、Akamaiの最新レポートでは、Miraiに似たボットネット攻撃が指摘されています。Akamaiによると、2016年にDynDNSへの攻撃で初めて大きな被害をもたらしたMiraiボットネットは、その後、多数の模倣者を生み出しました。6月13日に報告された最新の事例は、3月に発見された重大なコマンドインジェクション脆弱性を悪用したものでした。この脆弱性は、Common Visibility Scoring System(CVIS)の深刻度ランキングで9.8(10段階評価)と評価されており、感染したデバイスとそのデバイスが接続されているネットワークの両方に重大な損害を与える可能性があります。
Akamai社によると、この脆弱性により、攻撃者は影響を受ける無線ルーターに細工したリクエストを送信し、感染したデバイス上でコマンドを実行できるようになるという。同社は、コマンドの一つがMiraiを注入して実行すると報告しており、「それ以来、Miraiボットネットの影響を受けた多数の亜種やボットネットが出現しており、依然として影響を与え続けている」としている。
参照:Akamai、商取引を攻撃するボットネットに注目(TechRepublic)
ウェスト氏は、「大規模な政府機関であってもエンタープライズ組織であり、特定のタスクについてはサードパーティのサービスを利用する必要があることを示しています。サードパーティやサプライヤーによるレビューは実施される可能性が高いですが、ゼロデイコードの脆弱性は未知の未知であり、定義上、直接修正することはできません。」とコメントしました。
脅威が増大するにつれ、訓練の必要性が高まっている
現在の危険なサイバーセキュリティ環境において、企業のデータセキュリティは極めて重要であり、SOC、ITセンター、あるいは経営陣であっても、ある程度の脅威への対応は不可欠です。ご自身、従業員、そして他の方のために、価値あるセキュリティスキルを習得したいとお考えなら、TechRepublic Academyを通じてInfoSec4TCプラチナメンバーシップ:サイバーセキュリティトレーニングへの生涯アクセスをご利用いただけます。
