Killnet:世界で最も有名な親ロシア派ハクティビスト集団の内幕 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Killnet:世界で最も有名な親ロシア派ハクティビスト集団の内幕

Threat Report

DDoS

DDoS攻撃

Flashpoint

Killnet:世界で最も有名な親ロシア派ハクティビスト集団の内幕

山口 Tacos

山口 Tacos

2023.06.07

有名な親ロシア派ハクティビストグループであるKillnet。ロシア・ウクライナ戦争の勃発以後は特に、その活動レベルや野望が注目されてきました。

 

デジタル戦争の領域において、「Killnet」として知られる脅威アクターグループは知名度の高い勢力としての地位を確立してきました。Killnetは最も活発で野心的な親ロシア派ハッカー集団の1つとして登場しましたが、昨年はじめにロシアがウクライナに侵攻して以来、同グループの変動は激しさを増しています。

Killnetは粘り強さを発揮する一方で、気まぐれな面も目立ちます。同グループは常に拡大に向けた新しい道を模索し、戦術を進化させようと努めているほか、自らが「サイバー・パルチザンの軍隊」と称する部隊や、ロシア政府のシナリオに沿ったストーリーを提供しようとする親ロシア派メディアを使って注目を集めようとしてきました。Killnetは金銭的な利益を追求すると同時に、親ロシア派のイデオロギー的動機に合致した動機も持ち合わせていることで知られています。ロシアとウクライナの紛争が始まって以来、この2通りの動機が同グループの集団的な原動力となっています。

Killnetのような有名グループの内情を理解することは、より広範なサイバー脅威ランドスケープを把握したいと考える組織にとって不可欠なプロセスとなっています。Killnetの活動体制を紐解くことにより、組織は理解を深め、この進化を続ける脅威から自組織を守る力を強化することができます。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年6月5日付)を翻訳したものです。

Killnetとは?

「Killnet」は金銭的動機およびイデオロギー的動機を持つ脅威グループで、その拠点はおそらくロシアにあります。同グループは、西側諸国の組織やダークウェブマーケットに対して分散型サービス拒否(DDoS)攻撃やデータ抜き取り攻撃を実施してきました。

2021年10月に初めて登場したKillnetは当初、「雇われDDoS攻撃サービス」の提供を行っていました。Flashpointが初めて同グループの雇われDDoSサービスに関する広告を観測したのは2022年1月であり、広告はさまざまなロシア語不法フォーラムに掲載されていました。

しかし、2022年2月のロシアによるウクライナ侵攻ののち、Killnetはウクライナ国内およびウクライナを支援していると思われる国々のネットワークに対する攻撃を実施し始め、恐喝行為や犯行声明の発表を行うようになりました。同グループは、特に戦争の文脈においてロシアに忠義を尽くすことを公然と誓約し、NATOや西側諸国によるウクライナへの兵器供与に対する蔑みを表明しました。

2022年2月以降、Killnetはウクライナへ支援を提供している国々や、対ロシア制裁を支持する国々の国営および民間のWebサイトやネットワークを標的にしてきました。こういった攻撃は、ウクライナ支援や制裁への支持などが決定された直後に起きる場合が多いです。またKillnetの提携グループも、ウクライナのシステムに対するハッキング・アンド・リーク攻撃を行っています。

Killnetグループのアイデンティティ

不法コミュニティにおける脅威アクターたちの投稿内容を踏まえると、Killnetに対するイメージは大方がネガティブなもののようです。例えばフォーラム「RuTor」のユーザー「DHL」は、2月のウクライナ侵攻以来Killnetの暗号資産ウォレットへの送金が定期的に行われているとの報道を理由に、同グループの「腐敗」を非難しました。

XSSやBreach Forumsといったフォーラムにおいては、ユーザーらはKillnetを「高校1年生レベルのグループ」(XSS)、「ロシアのスクリプトキディグループ」(Breach Forums)などと称していました。また一流フォーラムのExploitでは、Killnetのドキュメントとされるものを含むデータベースを「教訓」として共有するメンバーまで現れました。KillnetはRTのようなメディアによって取り上げられることがあるにもかかわらず、高度な技術・知識を持つサイバー犯罪者たちが同グループに対して持つ上記のようなイメージは変わっていないようです。

Killnetに関与しているユーザーたち

Killmilk

「Killmilk」として知られるKillnetの創設者兼リーダーは、2021年10月からフォーラムRuTorで活動しているメンバーです。Killmilkの主張によると、同アクターは14歳の頃からさまざまな不正行為に関与してきたそうです。これには、同アクターが言うところのネット上の「ペドフィリーたち」(小児性愛者を意味するが、文脈によってはカミングアウトしていないゲイ男性たちという意味にもなる)から金銭をゆすり取る行為などが含まれます。

Killmilkは、2019年に外国のWebサイトへの攻撃を実施し始めたものの、暗号資産の損失による財政的困難に直面したと主張しています。その後2021年11月、同アクターは毎秒200GBという強度のDDoSサービスを提供し始めました。このことから、当時同アクターがボットネットへのアクセスを有していたことが伺えます。

公式にはKillmilkは2022年7月にKillnetを去っているものの、引き続きKillnetとの強固なつながりを維持しており、創設者として頻繁にメッセージの共有やガイダンスの提供を行っています。

BlackSide

2022年8月、Killnetの新たなリーダーが「BlackSide」であることが明らかになりました。BlackSideはあるロシア語ハッカーフォーラム(おそらく中間層フォーラムのBest Hack Forum)の管理者だと紹介されました。また、BlackSideにはクリプトジャッキングやランサムウェアオペレーションにおける経験があるとの主張がなされています。しかし、データ抜き取り攻撃をいくつか成功させたことがあるとするBlackSideの主張とは裏腹に、2023年2月の時点で、Killnetの能力や熟練度が目に見えて向上したことを示す確かな形跡は存在しませんでした。どうやら、Killnetの活動を制御し、統率しているのは創設者Killmilkのようです。

親ロシアの姿勢を決して崩さない集団

Killnetは米国および米国の個人・組織を第一の敵対者であるとみなしており、これらに対するデータ窃取攻撃や破壊的攻撃の実施を盛んに促しています。また、同グループは米国、英国、ウクライナを含む10か国の政府を相手にサイバー戦を宣戦布告しており、一般市民に対する脅威はないと請け合いつつ、これらの政府を「一掃」することを目指しています。

Killnetとロシア国家機構との間には、活動上の直接的なつながりはありません。ただ、両者の目標はロシア政府の目指すものと合致しています。またKillnetはロシア議会(ドゥーマ)からの支援を受けようとしていますし、ロシア政府とウクライナを狙うロシアのサイバー脅威グループとの間には関連があるかもしれないことがすでに特定されています。

Killnetはニュースへ頻繁に反応し、親ロシア派のメディアによって「非友好的」または「敵」だと指摘された国々を標的にしています。同グループの主要な目的の1つは、メディアへの露出やプロパガンダ資料などを通じて自身のDDoS能力をアピールしつつ、サイバー戦ランドスケープの中のロシアの立ち位置に関する国内の認識を形作ることです。

Killnetの内部構造

Killmilkは、ロシアのニュースサイト「Lenta」によるインタビューの中で、Killnetがさまざまなサブグループに振り分けられた「約4,500人の人員」によって構成されている旨を述べました。これらのサブグループはそれぞれ独立して運営されている一方で、時折共同で活動を行うこともあります。Killnetはまた、米国内に280人のメンバーがいるとも主張しており、ボーイングに対する攻撃は米国の「仲間」によって行われたものだとしています。

Killnetの中核グループは、2021年10月にRuTorフォーラムに登場した雇われDDoSグループのメンバーで構成されている可能性が高いです。攻撃の調整はKillnetのTelegramチャンネルを通じてリアルタイムで行われており、同チャンネル内で特定の標的や国々を狙う「部隊」が結成されたり解体されたりしています。

2022年2月以降、Killnetは自らの支持基盤を拡大すべく、人員採用の取り組みを積極的に行っています。例えば2022年9月には、グループの代表者が、新たなメンバーを募集する目的でKillnet専用のTelegramのスーパーグループを利用していました。同グループはコーダーやネットワークエンジニア、ペネトレーションテスター、システム管理者、ソーシャルエンジニアなど、多様なスキルセットを持つ個人の採用を目指していることから、さまざまな専門知識を持つ人材をチームに加えたいという意向があるのが伺えます。

頻繁な組織の再編、拡大、縮小

Killnetは幾たびかの組織再編を経験してきており、この間複数の部門が活動を停止したりしています。DDoSグループ「Phoenix」は過去にKillnetと提携していましたが、現在同グループは別個の、ただし同盟関係にあるグループであるとみなされています。「Mirai」や「Sakurajima」、「Zarya」といった部門に関しては運営上の独立性を獲得するに至っており、Zaryaはウクライナのネットワークに対する攻撃を重点的に実施しています。

また、グループ「Legion-Cyber Intelligence」は元々、Killnetのサブグループの運営をコントロールしており、時には各グループに対して特定の国々をターゲットとして割り当てることも行っていました。しかし最近では、Legion-Cyber Intelligenceは「インテリジェンス収集」の機能を担うようになっています。

Killnetは、「Anonymous Russia」などの自身より規模の小さいハクティビストグループを少なくとも14組集め、親ロシア派ハクティビストグループのための傘下組織として「Killnet Collective」を設立するなど、自らの影響力を拡大しています。

Killnetは国家に支援された組織・個人と提携していることや、これらの組織・個人から資金援助を受けていることを頑なに否定し、資金源は「ファンや愛国者たち」だと主張しています。しかし、Killnetに関するアセスメント結果からは、同グループが雇われサービスやその他の潜在的な資金源(盗難データの販売など)からも相当量の収入を得ている可能性が高いことが示唆されています。

Infinity Forum

2022年11月、Killnetは、話し合いを効率良く行えるようにすること、そして親ロシア派ハクティビストグループや金銭的動機を持つ脅威アクターらとの間の協力関係を強化することを目的として、フォーラム「Infinity」を始動させました。このフォーラムには、グループ・アクター間での協働のためのプラットフォームとしての役割と、サイバー犯罪用ツールや盗難データのマーケットプレイスとしての役割の両方を担わせることが意図されていました。そんな中、2023年2月、KillnetがInfinityを売却するつもりであることがKillmilkによってアナウンスされました。

Black Skills

2023年3月、Killmilkは、民間軍事ハッキング企業「Black Skills」の設立を発表しました。この動きは、ロシア政府による自組織の活用を促しつつサイバー犯罪活動にも従事し続けるためのもので、リブランディングおよびグループ再編の試みとみなされました。同グループの新たな顔となったBlack Skillsは、企業イメージを確立することや、自身のサイバー軍事活動の顧客を惹きつけることを目指していました。

4月には、Killnetが正式にハクティビスト活動を終了し、Black Skillsとしてリブランディングすることが発表されました。同グループは、西側諸国の標的に対する攻撃は続けるものの、「利他的」にこれを行うのではなく、民間企業や公共団体から注文を受けて有償で攻撃を実施することになると表明していました。しかし、そのわずか数週間後にKillnetはこの動きを「間違い」だったとして撤回しました。

関連記事:金と注目を集めるために:Killnetがまたもや組織を再編かKillnetがAnonymous Russiaのリーダーを追放、親ロシア派ハクティビストのドラマに新章が加わる

Killnetの手口

Killnetはその活動においてさまざまな手法を用いますが、主にDDoS攻撃に注力しています。グループ創設者のKillmilkは2.4 Tbpsという大規模なDDoS攻撃を、主に他国のボットネットを使って実施する能力があると主張しています。なおこういった攻撃で使われるロシアのデバイスは、全体の6%に満たないそうです。

DDoS攻撃に加えて、Killnetは標的ネットワークからのデータ(政府高官のEメール受信箱や銀行データなど)の抜き取りに関する犯行声明も出しています。Killnetが使用するツールの1つが「CC-Attack」で、これは、同グループのTelegramチャンネル内で共有されている誰もが利用可能な攻撃用スクリプトです。おそらく2020年に無関係の学生によって作成されたと思われるこのスクリプトは、公開プロキシサーバーの使用を自動で行うほか、シグネチャーベースのソリューションを回避するためのランダム化技術も取り入れています。CC-Attackツールキットは最小限の専門知識さえあれば使用でき、3種類のレイヤー7攻撃(GETフラッド攻撃、HEADフラッド攻撃、POSTフラッド攻撃)の実施を可能にします。同ツールでは、HTTPリクエストのエンティティ(ユーザーエージェント、Acceptヘッダー、POSTデータなど)のランダム化技術が採用されています。

さらにKillnetは、自身の専有ツールに加え、複数の既知のDDoSスクリプトも利用してきました。これには、「Aura-DDoS」、「Blood」、「DDoS Ripper」、「Golden Eye」、「Hasoki」、「MHDDoS」などが含まれます。

Killnetによる攻撃の詳細

Killnetによる注目すべき攻撃の1つに、2022年5月30日にイタリアのコンピューターセキュリティインシデント対応チーム(CSIRT)によって観測された攻撃がありました。10時間以上続いたこの攻撃はピーク時の攻撃規模が40Gbpsで、3つのフェーズで構成されていました。第1のフェーズでは、TCP-SYN、UDP、TCP SYN/ACKの増幅攻撃に加え、DNS増幅攻撃とIPフラグメンテーション攻撃が行われました。第2のフェーズの強度は第1のフェーズのものと同様で、IPフラグメンテーション攻撃ののち、DNS増幅以外の前述したタイプの攻撃が発生しました。最後の最も長いフェーズは頻度が前の2フェーズよりも低く、ボリューム型攻撃とState-Exhaustion攻撃(プロトコル攻撃)が交互に繰り返されました。

Killnetが攻撃中に用いるいくつかの具体的な技術はCSIRTによって特定されていますが、これには、ICMPフラッド、IPフラグメンテーション、TCP SYNフラッド、TCP RSTフラッド、TCP SYN/ACKフラッド、NTPフラッド、DNS増幅、CLDAP(Connectionless LDAP)攻撃が含まれます。

またKillnetは、イタリア政府のサイトに対し、サーバーのリソースを圧迫するために不完全なHTTPリクエストを継続的に送信するSlow POST DDoS攻撃を行っているのも観測されています。

さらに、Forescoutの研究者は、Killnetに関連するハニーポットサーバーと監視用IPアドレスを通じて、同グループがTCP21番ポート(FTP)、80番ポート(HTTP)、443番ポート(HTTPS)、22番ポート(SSH)の認証情報に対するブルートフォース攻撃を好むことや、SSHトンネリングを使用することも確認しました。観測された攻撃には58件のIPアドレスによる381件の攻撃が含まれ、そのうち56件は一般的なデフォルトの認証情報を狙った辞書攻撃でした。

Forescoutは辞書攻撃に関与していないIPアドレスが最大3日間攻撃を継続したことを指摘しましたが、このことからは、各IPアドレスごとに目指す目標が異なることが示唆されています。またSSHセッションにおいて、攻撃者はSSHトンネルを確立することにより「google[.]com」に対するプロキシを作成しようと試みました。FTPポートを狙った攻撃においてシステムタイプを返すSYSTコマンドが繰り返し使用されたことからは、Killnetに偵察の意図があることが伺えました。 

2022年12月、KillnetはGitHub上でホストされているスクリプトを共有しましたが、これはフォロワーに対してWebサイトの改竄を促すようなものであったことから、同グループがこの種の攻撃に傾倒している可能性が示されました。

2023年1月、Radwareの研究者は、医療機関に対する攻撃でKillnetが採用したツールの1つがボットネット「Passion」だったことを特定しました。このボットネットは「PASSION BOTNET CHAT」という名のTelegramチャンネルを保持していましたが、同チャンネルはFlashpointのコレクション内でも閲覧可能となっていました。

Killnetは1つの攻撃を成功させた後、check-host[.]netを利用し、公式Telegramチャンネルでその攻撃の検証と確認を行うことが多いです。

注目に値するKillnetの攻撃

Killnetは多数の組織や機関を標的にしてきており、2022年2月以降はその活動量が増加しています。

医療機関への攻撃

Killnetは複数のハクティビストグループと協力し、西側諸国(特に米国)の医療機関を攻撃するための広範なキャンペーンを開始しました。ハクティビストグループのPhoenixは、米国内の2つの病院に影響を与えた攻撃は自身によるものだと主張しました。また、Killnetは自らのTelegramチャンネルで病院のWebサイトが列挙されたリストを共有し、米国の医療システムに対する大規模な攻撃を実施するよう呼びかけました。

ドイツへの攻撃

ドイツがウクライナへ戦車「レオパルト」を供与すると決定したのち、KillnetはドイツのWebサイトに対するDDoSキャンペーンの先陣を切りました。この攻撃には16もの親ロシア派ハクティビストグループが加わったものの、影響はさほど生じませんでした。

ダークウェブマーケットへの攻撃

ロシア運営の有力マーケット「Hydra Market」が法執行機関によってテイクダウンされてから始まった今なお続くダークウェブマーケット間の対立にも、Killnetは関与していました。Killnetは「WayAWay」を支援した一方、「OMGOMG」と提携する大規模フォーラムのRuTorを攻撃しました。同グループはダークウェブマーケットへの攻撃を、麻薬取引に反対する姿勢を示したものだとして正当化しました。しかし、金銭的な動機があったことや、イデオロギーを理由とした正当化が行われていたことも確認されています。

ヨーロッパの機関への攻撃

Killnetは、欧州議会がロシアをテロ支援国家に指定したことを受け、同議会のWebサイトを標的にしました。この攻撃により、同サイトはしばらくの間利用できない状態となりました。また、欧州議会への攻撃を理由にKillnetに対する調査が開始された後、同グループはベルギーのサイバーセキュリティセンターをも攻撃しました。

米国のWebサイトへの攻撃

Killnetは、米国政府のWebサイトに対するさまざまな攻撃についても犯行声明を出しています。標的になったのは、国家地理空間情報局、米国の税財源、複数州の政府Webサイト、複数の空港(オヘア国際空港など)、大手銀行などです。これらの攻撃は可視性に関する問題を生じさせはしたものの、業務への影響は限定的でした。

リトアニアおよび米国への攻撃

Killnetはリトアニアの政府および民間機関に対するDDoS攻撃を行ってきました。同グループは、ロシアと、ロシアの飛び地であるカリーニングラードとの間の中継ルートの復活を要求していたのです。またKillnetは、米国の5つの州やヨーロッパ諸国で同時に同様の攻撃を行うことができると主張し、米国のエネルギーセクターと金融セクターを脅しました。

上記のような注目すべき攻撃からは、さまざまなセクターや国々を狙うKillnetの活動の一部を垣間見ることができます。同グループの動機は、地政学的な争いに関するものやイデオロギー的理由から正当化されるもの、はたまた金銭的な利益に関するものや特定の業界に対する反発からくるものまで、多岐にわたっています。

Killnetの今後

Killnetは、その国家主義的な行動指針とは裏腹に、概して金銭的な動機で動いており、親ロシア派のメディア・エコシステムからの熱心な援助を利用して自らの雇われDDoSサービスを宣伝しています。またKillnetは、複数のボットネット・プロバイダーや、Infinity Forumを共に創設したパートナー脅威グループである「Deanon Club」と提携し、麻薬に特化したダークネットマーケットを標的にしています。

Killnetがより高度な戦術を獲得したという証拠は存在しないものの、最近みられた有償の「サイバー傭兵」への転向というシフトチェンジは懸念を呼んでいます。というのもKillnetのこの動きは、自身の活動を収益化したいと願う他のグループにとっての青写真となる可能性があるからです。現に、過去にKillnetと提携していたグループPhoenix、AKUR、Legionはすでにサイバー犯罪への注力に向けた明確な転換を見せています。Phoenixは不正なアクセス権や抜き取られたデータを宣伝・販売するためのTelegramチャンネルを立ち上げましたし、Legionに関しては、独自の民間軍事ハッキング企業を設立しています。

親ロシア派ハクティビストグループとロシアの秘密諜報機関との間にどの程度のつながりがあるのかは未だ判明しておらず、おそらくその度合いはグループごとに異なると思われます。Mandiantによる過去のレポートにおいてはXakNetとCyber Army of Russiaがロシアの秘密諜報機関に関連しているとの指摘がなされていますが、このことからは、国家支援型の組織によって不正に入手された情報が、これらのグループを隠れ蓑にして共有されているかもしれないことが伺えます。こうした枠組みを用意することにより、上記のようなグループが自らの名声を高めることが可能になったほか、国家型アクターには「もっともらしい否認」を行う余地が与えられました。ハクティビズムからサイバー犯罪へのシフトがより顕著になれば、国家支援型のグループが西側の組織のサイバー防衛を探るために「サイバー傭兵」を代理人として使うようになるかもしれません。2022年後半に発生したポーランドのロジスティクス企業への(ロシアのAPTグループによる仕業とされている)ランサムウェア攻撃が示すように、このような枠組みを利用することへの関心が存在するのは明らかです。

Killneは上記のような枠組みに対する(それが金銭的利益をもたらすものである限りは)関心を示してきました。このことからは、同グループが今後どのような道筋を辿り得るのかが示唆されています。

Flashpointでサイバーリスクの特定・緩和を

不法コミュニティの動向を見逃すことなく、新たな脆弱性、セキュリティインシデント、ランサムウェア攻撃を把握することによって資産、ステークホルダー、インフラを守りましょう。無料トライアルにいますぐ申し込み、Flashpointの広範なコレクションプラットフォームやディープウェブ上のやり取りの監視ツール、ダークウェブモニタリングツールに触れてみてください(※)。

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

Flashpointのご紹介

Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。Flashpointを使用すれば、ダークウェブ等の不法コミュニティで脅威アクターたちがどのような議論・取引を行っているのかをモニタリングすることができます。

Flashpointについて詳しくは、以下のフォームからお気軽にお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ