自身の傘下にいる勢力を強化するなどのKillnetの最近の動きは、同グループがサイバー攻撃による戦略的利益の獲得に引き続き注力していることを示しています。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年5月4日付)を翻訳したものです。
組織の再編成とリブランディング
Killnetは4月27日、ハクティビスト活動を終了し、「民間軍事ハッキング企業」と自称する「Black Skills」としてリブランディングすることをTelegram上で発表しました。同グループによると、西側諸国の組織への攻撃は続けるものの、「利他的」にこれを行うのではなく、民間や公共団体から注文を受けて有償で攻撃を実施することになるとのことです。
また、同グループは組織の「再編成」も新たに発表しました。昨年秋に自らを「集団」とし、より小規模なハクティビスト・グループを傘下に吸収することを目指し出して以来、Killnetが組織の再編成を発表するのは少なくとも3回目です。
この発表は、Killnetの中心メンバーの素性に関する情報がネット上に出回り始めてから数日後に行われました。
さらに、Killnetの創設者「Killmilk」は、ロシアで政府が主催する大規模な記念行事「不滅の連隊」のWebサイトを攻撃するよう正体不明の人物が自身を説得しようとしたと主張し、グループに対してこの人物の動きへの警戒を強めるよう提唱しました。この内容は、Killnet系列の多くのチャンネルで再投稿されました。判明しているのはKillmilkのアカウントのみであるため、何者かが本当にそのようなオファーをしたのかどうかは不明です。
注目すべきことに、3月以降、KillnetはBlack Skillsに関する新たな情報を一切掲載していませんでした。
目的は引き続き金銭の獲得
この数か月間、Killnetは様々な方法で資金を得ようとしてきましたが、これらの試みはほとんどが失敗したか、少なくとも不十分な結果に終わっていたようです。これには以下のような試みが含まれます。
・この数か月の間、数回にわたってロシア(国家)およびロシア人実業家によるスポンサーシップに公然と申し込む。
・NATO諸国から流出したさまざまな文書へのアクセス権を売りに出す。
・2022年12月に自身が作成したフォーラム「Infinity」を売りに出す。
・まだ開講していないとみられる有料の「ハッキングスクール」(受講料249ドル)を宣伝する。
・有料DDoSサービスを宣伝する。
・フォロワーに金銭の提供を求める。
嘲笑の的に
Killnetは今なお、ロシア語圏の上流フォーラム上で多くのユーザーからの冷やかしの対象となっています。例えばフォーラム「Exploit」では、グループのリーダーKillmilkによるInfinityの販売を宣伝するスレッドが広く嘲笑を浴びました。ユーザー数人が数百ドルを提示しましたが、その多くは同フォーラムを失敗作と捉えていました。
また、ExploitやXSSといった上流フォーラムの複数のユーザーが、KillnetはWWH-Clubで入手できる古いハッキングマニュアルを「ハッキングスクール」を通じて転売しようとしているだけなのではないかと推測しています。なおWWH-Clubは、このような教材を広めることに特化したまた別の不法フォーラムです。
動機と提携関係
Flashpointが何度か指摘している通り、Killnetは国家主義的な振る舞いを見せているとはいえ主に金銭的な動機で動くグループであることに変わりはなく、ロシアの熱心な親クレムリン派のメディア・エコシステムによって提供されるメディア露出の機会を利用して、自組織の雇われDDoSサービスを宣伝してきました。Killnetは、複数のボットネット・プロバイダーや提携する脅威グループであるDeanon Clubと協力し、麻薬に特化したダークネット市場を標的にしています。
Killnetがこの数か月の間にこれまでよりも高度なTTPを獲得した形跡はないものの、同グループがよりオープンに有償の「サイバー傭兵」へ転向する動きを見せたことは懸念材料となるはずです。というのも、この動きにより他のグループにとっての青写真またはモデルが示されたためです。過去には、元々Killnetと提携していたグループPhoenix、AKUR、Legionが、サイバー犯罪への注力に向けた明確な動きを見せていました。Phoenixに関しては、アクセス権や流出データを宣伝・販売するためのTelegramチャンネルまで立ち上げています。一方Legionは、独自の「民間軍事ハッキング会社」を設立しました。
親ロシア政府派のハクティビストグループとロシアのセキュリティサービスとの関連性の程度は不明であり、おそらく個々のケースでばらつきがあると思われます。以前、Mandiantの研究者はXakNetとCyber Army of Russiaをロシアのセキュリティサービスと関連付け、両グループが、国家支援型グループによって不正に入手された情報を共有するための隠れ蓑として機能していることを提唱しました。この協定によりXakNetとCyber Army of Russiaは名声を手に入れ、一方で国家支援型グループの方では、もっともらしい否認をすることができるようになりました。サイバー犯罪への傾倒に向かうより決定的な動きが生じれば、国家支援型グループが西側の組織のサイバー防御を調査するために「サイバー傭兵」を手先として使うという状況が生まれるかもしれません。2022年末にポーランドの物流会社で発生したロシアのAPTグループによるランサムウェア攻撃を踏まえると、上記のような動きへの関心が存在することは確実です。
Killnetは間違いなく、(それにより金銭的利益を得られる限りは)上述のような協定に興味を抱いているはずです。
Flashpointで不正コミュニティの継続的な注視を
Flashpointは、Killnetをはじめとする不正なオンラインコミュニティに関する実用的なインテリジェンスをチームに提供します。また、収集能力を発揮する場を敵の所在地へと移動させる敏捷性も備えています。Flashpointのインテリジェンスを活用することで組織全体での迅速かつ決定的な対策を講じることが可能になるかどうかをご確認いただくには、今すぐ無料トライアルにお申し込みください(※)。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
Flashpointのご紹介
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。Flashpointを使用すれば、ダークウェブ等の不法コミュニティで脅威アクターたちがどのような議論・取引を行っているのかをモニタリングすることができます。