-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年4月19日付)を翻訳したものです。
Anonymous Russiaのリーダーとみられる18歳のベラルーシ国民が、最近地元当局に逮捕されました。これを受け、Killnetの複数の関連グループが同容疑者の釈放を呼びかけたり、独自の連合の結成に乗り出したりするようになっています。
親ロシア派ハクティビスト界は、最新のKillmilkの動きに動揺しているかもしれません。KillmilkはグループKillnetの設立者で、事実上のリーダーです。4月15日、彼は「難しい決断」をしなければならなかったと表明し、Anonymous Russiaのリーダー「Raty」の実際の身元を明らかにしました。Anonymous Russiaは、初めはウクライナにおける分散型サービス拒否(DDoS)攻撃を行っていたグループで、後に複数のKillnetのキャンペーンに参加し、Killnetの指揮命令系統へとより密接に一体化した関連グループになりました。Killmilkはいくつかの情報をぼかした状態で、パスポート写真と思われるものを共有しました。
このKillnetの創設者は、Ratyの本名がArseni Yeliseyeu(18歳のベラルーシ国民)である旨、Killnetグループ内にベラルーシの工作員(Killmilkはこの工作員のTelegramハンドルも共有した)が存在していたために、4月15日か16日頃にベラルーシの警察に逮捕された旨を主張しました。
Killmilkはその後、Anonymous Russiaの新たなリーダーに「Radis」というエイリアスを持つ脅威アクターを「任命」すると表明しました。Anonymous RussiaのTelegramグループはすぐに抹消されました。現在は、このチャンネルが「(セキュリティ)サービス」へのアクセスを拒否するために「消去」されたことを伝える読者宛てのメッセージだけが表示されています。
Anonymous Russiaの新たなTelegramチャンネル
Anonymous Russiaの新たなTelegramチャンネル上で、管理者は以下の2点について表明しました。
☐ Anonymous Russiaの管理者は「CIAのネズミに対する戦争」を宣言しました。この表現は、この管理者の読みでは、「ウクライナIT軍」のような親ウクライナ派ハクティビストグループを意味しています。ウクライナIT軍は、2022年のロシアによる侵攻の直後に発足した親ウクライナ派のグループであり、このチャンネルのメッセージの1つの中で具体的に名前が挙げられています。ロシアのプロパガンダから持ち出されたこの比喩には、この新たなグループが親ロシア派であることを認める意図がありそうです。
☐ また、Anonymous Russiaは「誰でも購入できる」有料の雇われDDoSグループへと転身することも発表しました。しかし同グループは、このプロジェクトは「ダークウェブも狙う」とも明記しました。この後者の発表は、Anonymous RussiaがKillnetと同様にダークネット・マーケットに対してDDoS攻撃を行うつもりであることを示唆しています。
疑問は残る
逮捕疑惑を巡って、まだいくつかの未解決の疑問があります。Killnetが「Raty」の個人情報をすぐネット上に晒しただけでなく、かつての仲間を「(十分な)注意力がない」として切り捨てた事実は、RatyとKillnetの間に意見の相違があったことを示唆している可能性があります。つまりKillnetが採用し、関連グループにも従ってもらうことを求めていた方向性に解釈の不一致があった可能性があります。
上記とは別に、Killnetと提携している複数のハクティビストグループがRatyの釈放を呼びかけ、この趣旨でベラルーシ政府のネットワークを攻撃すると発表しました。これらのグループにはPhoenixやAnonymous Sudan、Kvazar DDoSが含まれています。PhoenixはKillnetの元下位グループで、最近は独自のハクティビスト同盟を作り出すことを発表していました。
Killnetからの独立
この進行中のストーリーからは、過去(Killnetが初めて大小のグループすべてを自身の傘下に置こうと試みてからの約6か月間)における親ロシア派ハクティビズムの紆余曲折が浮き彫りになっています。このKillnetの試みはどちらかというと失敗に終わったままです。いくつかのグループが公式パートナーとしてKillnetに参加した一方で、多くの他のグループ(ある種のクラウドソーシングされたDDoSのようなものを実施しているNoName057(16)など)は自身の独立性を保っています。過去数か月の間には、Phoenixを含む、複数のより小さなグループが独自の同盟か投機的事業を作り出すことを発表しました。この発表は、ハクティビズムを装ったサイバー犯罪サービスのマーケットが混雑してきていることを暗示しています。現在は、Killnetの関連グループは一定レベルの運営上の独立性を保っていると思われるだけでなく、関連グループの一部がKillnetのリーダーシップや計画に関する問題を抱えていた可能性があるようにも見受けられます。
お金のために
Flashpointが過去に何度かレポートで取り上げたように、Killnetは昨年、自身の、イデオロギーに動機付けられたハクティビズムについて強調しました。一方で、このグループの第一の動機は引き続き金銭的なものであり、自身の能力やプロジェクトの宣伝、収益化のために、自身のTelegramの多数の支持者からもたらされる注目やメディアのインタビュー、そして報道を利用しました。
2022年後半と2023年初めに、KillnetとそのパートナーであるDeanon Clubは複数の(麻薬に特化した)ダークネット・マーケットに対してDDoS攻撃を仕掛け、そして2月に2つのグループは「Black Listing」(ダークネット・マーケットを標的にする、有料でDDoSを行う雇われ恐喝グループ)を結成しました。Black Listingは、単純なDDoS・アズ・ア・サービスのプロバイダーのようです。
Killnetが3月に設立した「Private Military Hacking Company Black Skills(民間軍事ハッキング会社Black Skills、の意)」は、悪名高いワグネル・グループの形式をとったオンライン版のロシア傭兵グループに見えるように作られています。しかし双方のグループの主な目的は、顧客から注文を受けて特定の標的へ攻撃を行い、そこから収入を生み出すことです。これはAnonymous Russiaも採用している方針だと思われます。
Flashpointで脅威アクターの先を行きましょう
組織のセキュリティ能力は、脅威と脆弱性インテリジェンスに基づいた防御を行うことで初めて向上します。認証情報が売られる不法マーケットや不法コミュニティへの可視性を高め、資産、インフラ、そして人を守るために無料トライアルに登録しましょう。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
詳しくは以下のフォームからお問い合わせください。
